IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Un adolescent de 16 ans a été suspendu pour avoir exposé des vulnérabilités dans le logiciel de son école


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Étudiant
    Inscrit en
    Novembre 2013
    Messages
    378
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2013
    Messages : 378
    Points : 32 150
    Points
    32 150
    Par défaut Un adolescent de 16 ans a été suspendu pour avoir exposé des vulnérabilités dans le logiciel de son école
    Un adolescent de 16 ans a été suspendu pour avoir exposé des vulnérabilités dans le logiciel de son école
    par le biais d’une fonctionnalité du logiciel en question

    La sécurité des données est devenue la préoccupation majeure des entreprises ces dernières années, surtout en raison des nombreux cas de cyberattaques récemment enregistrées. On constate ainsi que de plus en plus d’institutions et d’entreprises investissent de grosses sommes d’argent pour se doter d’outils permettant d’assurer la sécurité de leurs systèmes et par conséquent des données qu’ils contiennent. Mais on remarque également que pour certains établissements scolaires, le système de cybersécurité peut parfois laisser à désirer, ce qui permet à des personnes dotées de connaissances en informatique, d’y accéder sans trop de difficultés.

    Bill Demirkapi fait partie des personnes ayant réussi à accomplir ce genre de prouesse. Demirkapi a parlé de ses prouesses lors de la conférence DEF CON de cette année à Vegas et parmi les nombreux exploits de ce genre qu’il dit avoir accompli, il a parlé d'une vulnérabilité découverte dans le logiciel qu’utilisait son école. Âgé de 16 ans au moment où il a réussi cet exploit, il était élève en première année de lycée à Lexington, dans le Massachusetts. En exploitant cette vulnérabilité, il a pu être en mesure d’accéder aux données personnelles des élèves comme les relevés de notes, les emplois de temps, les villes natales et bien plus encore.

    Le logiciel appartenait à deux des plus grands noms de la technologie de l'éducation : Blackboard et Follett Corporation. Ensemble, ces entreprises offrent des produits d’éducation en ligne à plus de la moitié des écoles américaines. Demirkapi fait savoir que ses intentions n’étaient pas du tout malveillantes et donc qu’il n’avait aucune intention d’abuser des failles découvertes, mais qu’au contraire, il souhaitait informer Follett Corporation, la société qui fabrique ce logiciel, afin qu'elle puisse résoudre le problème et rendre les données personnelles des étudiants plus sûres. Malheureusement pour lui, la société n’a jamais daigné donné suite à ses multiples tentatives pour la joindre et donc pour se faire entendre, il a décidé de s’y prendre autrement.

    Nom : security_defcon_high-school (1).jpg
Affichages : 5174
Taille : 39,5 Ko

    Il a utilisé une fonctionnalité du logiciel pour envoyer un message non seulement à l’entreprise Follet, mais également aux parents d’élèves, aux administrateurs de district, et aux enseignants, ce qui représente probablement des milliers de personnes. Après cela il était impossible de continuer à l’ignorer et il a écopé d’une suspension de l’école pour ça. Voici ce que contenait son message : « Bonjour, Bill Demirkapi 123 était ici. Follett Corporation n'a aucune sécurité. Voici vos cookies, ne vous inquiétez pas je ne les ai pas volés ».

    Le message a été supprimé après quelques heures et peu de temps après, la vulnérabilité a été corrigée. La méthode employée par Demirkapi pour se faire entendre peut-être critiquée, mais ce problème a permis de se rendre compte de comment il peut être difficile d’informer de manière responsable ces entreprises, des vulnérabilités découvertes dans leurs logiciels. George Gatsis, vice-président directeur de la technologie chez Follett, a remercié Demirkapi d’avoir aidé la société à identifier ses bugs et affirme que même avec les failles de sécurité qu'il exploitait, Demirkapi n'aurait jamais pu accéder aux données de Follett autres que les siennes. Demirkapi était naturellement en désaccord et a déclaré qu'il avait montré aux ingénieurs de la société le mot de passe piraté de son ami comme preuve.

    Demirkapi fait aussi remarquer que si lui, motivé uniquement par sa propre curiosité, pouvait si facilement accéder à ces bases de données d'entreprise, cela montrait bien que la sécurité dans les logiciels éducatifs est vraiment mauvaise. D’ailleurs, il a aussi découvert une vulnérabilité liée à l’injection SQL dans un logiciel de la société Blackboard. Un pirate qui aurait exploité cette faille aurait pu avoir accès à des données appartenant à 5000 écoles et à environ 5 millions d'élèves et d'enseignants. Ça représente vraiment beaucoup surtout quand on sait que ces données comprennent les adresses électroniques, les numéros de téléphone, les notes, les itinéraires, les dossiers de vaccination et les comptes de réseaux sociaux.

    Blackboard a également remercié Demirkapi, mais a fait valoir que, d’après leur analyse, personne n’avait eu accès à ces enregistrements par le biais de la vulnérabilité qu’il avait exposée. Seulement, il devient difficile de croire sur parole ces entreprises en ce qui concerne des cas de violations de données, car le plus souvent, les communiqués officiels ne reflètent pas ce qui s’est réellement passé.

    Source : Bill Demirkapi

    Et vous ?

    Pensez-vous qu’on doive le remercier ou le condamner ?

    Voir aussi :

    Un chercheur pirate le niveau de sécurité L3 de l'outil DRM gratuit de Google Qu'utilisent plusieurs fournisseurs de services de streaming
    Un hacker pirate des caméras de surveillance pour parler à un bébé, La sécurité des objets connectés est-elle remise en cause ?
    Des pirates informatiques attaquent un prestataire du Service de sécurité russe, dévoilent un projet de désanonymisation de Tor, Et d'autres projets

  2. #2
    Membre habitué Avatar de vivid
    Profil pro
    Inscrit en
    Février 2006
    Messages
    194
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2006
    Messages : 194
    Points : 155
    Points
    155
    Par défaut
    c'est bien.. Maintenant il va falloir qu'il fasse preuve de curiosité alimentaires.

  3. #3
    Inactif  

    Homme Profil pro
    Écrivain public, Économiste et Programmeur Free Pascal
    Inscrit en
    Août 2005
    Messages
    350
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Écrivain public, Économiste et Programmeur Free Pascal
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Août 2005
    Messages : 350
    Points : 943
    Points
    943
    Billets dans le blog
    40
    Par défaut Génération des 3 ans
    Nous en France, on promeut une génération capable de croire qu'il n y a pas d'humain en face d'eux.
    À ce que j'en sais de ce que dirait la science, on n'aurait toujours pas prouvé qu'il y aurait de la vie. Cherchez l'erreur.

  4. #4
    Inactif  
    Homme Profil pro
    Étudiant
    Inscrit en
    Janvier 2019
    Messages
    203
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Gabon

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2019
    Messages : 203
    Points : 585
    Points
    585
    Par défaut
    Citation Envoyé par vivid Voir le message
    c'est bien... Maintenant il va falloir qu'il fasse preuve de curiosité alimentaires.
    et on découvrira toutes les saletés que les entreprises agroalimentaires nous font gober sans que personne ne s'en rende compte.

  5. #5
    Membre extrêmement actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Octobre 2017
    Messages
    2 021
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Octobre 2017
    Messages : 2 021
    Points : 6 322
    Points
    6 322
    Par défaut
    Citation Envoyé par vivid Voir le message
    c'est bien.. Maintenant il va falloir qu'il fasse preuve de curiosité alimentaires.
    Commentaire parfaitement idiot!

  6. #6
    Membre extrêmement actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Octobre 2017
    Messages
    2 021
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Octobre 2017
    Messages : 2 021
    Points : 6 322
    Points
    6 322
    Par défaut
    Un adolescent de 16 ans a été suspendu pour avoir exposé des vulnérabilités dans le logiciel de son école
    Finalement l'Humain n'a pas franchement changé au fil des siècles: Dans l'Antiquité et au Moyen-Age quand un messager apportait de mauvaises nouvelles, celui-ci finissait au mieux dans un cachot au pire la tête coupée sur le billot!

Discussions similaires

  1. Réponses: 6
    Dernier message: 29/06/2019, 03h12
  2. Réponses: 142
    Dernier message: 21/12/2017, 16h05
  3. Réponses: 15
    Dernier message: 04/02/2010, 16h21
  4. Réponses: 0
    Dernier message: 02/02/2010, 12h58

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo