Discussion :

[Stéphane le calme]

Un étudiant renvoyé pour avoir utilisé un keylogger pour pirater le système de son école et changer ses notes,
les professeurs s'inquiètent

Des responsables de l'Université du Kansas (KU) ont pris la décision de renvoyer un étudiant pour avoir installé un périphérique qui a servi de keylogger matériel et a été utilisé pour pirater le système de notation de l'école et changer ses notes.

Si l’université s’est refusée à divulguer le nom de son ancien étudiant au public, elle a affirmé que le dispositif d'enregistrement de frappe avait été installé sur l'un des ordinateurs dans ses salles de conférence.

L'élève a utilisé les données recueillies sur l'appareil pour changer ses notes, les faisant passer de F à A. Les professeurs ont assuré que l'incident n'aurait pas été remarqué si l'étudiant n'avait pas effectué des modifications aussi flagrantes.

Pour rappel, aux États-Unis, le système de notation par les lettres est varie de A à F, A étant la meilleure note, F la plus mauvaise. Pour augmenter les précisions, il est courant de voir ces lettres accompagnées des signes + et - (comme B+ ou C-).

Le périphérique utilisé par l'étudiant était un keylogger matériel courant que n'importe qui peut acheter sur Amazon ou eBay à partir de 20 $.

Barrett-Gonzalez, qui préside l'American Association of University Professors, a déclaré qu'il voyait l'enregistreur de frappe comme un problème potentiel « pour chaque instructeur dans chaque université et chaque enseignant dans chaque école secondaire dans le pays. Nous devons faire passer le message aux éducateurs partout dans le monde. »

Il ne s'agit pas seulement de changer de notes, a déclaré Barrett-Gonzalez. Une fois que les pirates ont un identifiant et un mot de passe d'instructeur, ils ont accès au site Web des ressources humaines et même à l'information sur la paie et les comptes bancaires d'un membre du corps professoral.

« Une personne peut changer le numéro de routage sur le dépôt direct de la paie et faire virer la masse salariale d'un membre du corps enseignant dans un autre compte », a-t-il rappelé.

Ce que l'étudiant a fait « transcende la simple violation de la conduite des étudiants et devient un acte criminel », a déclaré Barrett-Gonzalez. Selon lui, les professeurs veulent voir l'étudiant poursuivi pour son comportement dans l’espoir de dissuader tous ceux qui voudraient s’en inspirer. « C'était une brèche de sécurité. »

Il a déclaré que l’administration de la faculté d’ingénierie a assuré que l'incident n'était « pas un gros problème », mais il soupçonne que d'autres incidents sont probablement passés inaperçus ou non publiés dans d'autres universités.

Suzanne Shontz, professeure agrégée de génie électrique et d'informatique à la KU, a également assisté à la réunion durant laquelle ce problème a été débattu. Elle a confirmé les informations communiquées par Barrett-Gonzalez au sujet de la violation de la sécurité, et a également déclaré que le corps professoral avait reçu des conseils pour se prémunir contre de telles attaques à l'avenir.

« Cela ne fait pas de mal de vérifier et de s'assurer que vous ne voyez pas l'un de ces enregistreurs de frappe insérés avant de vous connecter », a déclaré Shontz.

Elle a affirmé avoir été surprise lorsqu'elle a appris la violation de la sécurité la semaine dernière. C'est la première fois qu'elle a entendu parler de telles attaques, et elle espère que l'université ne verra pas de naître de copycat.

Les professeurs de l’université sont en colère contre leur hiérarchie parce que l'incident a eu lieu au printemps dernier, mais ils n'en ont pris connaissance qu’il y a deux semaines, au début de la nouvelle année scolaire pendant une réunion.

Les professeurs ont dit qu'ils auraient aimé recevoir un avertissement afin de pouvoir surveiller eux-mêmes les incidents similaires et de regarder de plus près les notes qu'ils ont attribuées.

Néanmoins, ce n'est pas la première fois que les étudiants piratent leur établissement ou leurs professeurs pour tenter de changer leurs notes. En 2015, un lycée de Louisiane a suspendu 45 de ses étudiants pour avoir piraté le système de notation de l'école et changé les notes.

Des hacks similaires se sont produits dans d'autres pays, tels que la Chine. Le Technion Institute of Technology à Haïfa, Israël a expulsé un étudiant en mars pour piratage des courriels des professeurs afin de trouver des informations susceptibles de lui faire améliorer ses notes.

D'autres étudiants, peut-être pas assez équipés pour procéder au piratage de leur établissement, se sont tournés vers les attaques DDoS. Quoi qu’il en soit, dans la plupart des cas rapportés, les étudiants finissent par être pris et peuvent faire parfois face à une action en justice.

Source : Kansas City, LJ World, Daily World, Shangai Daily

[RyzenOC]

Je pense surtout que c'est la partie immergé de l'iceberg.

L'étudiant intelligent trichera de manière modéré, celui qui à accès par exemple aux réponses de son contrôle fera exprès de faire quelques faute pour pas éveiller les soupcons. C'est le bon sens meme. De meme qu'un politicien voulant détourner de l'argent le fera par petites sommes sur la durée et pas d'un coup.
Le bon sens aurais voulue que cette étudiant augmente un peu ces notes mais aussi celle de ces camarades afin de brouiller les pistes au cas ou. Tant qu'aucune caméra n'a vue l'étudiant trafiquer l'ordinateur l'université n'a aucune preuve.

Quoi qu’il en soit, dans la plupart des cas rapportés, les étudiants finissent par être pris et peuvent faire parfois face à une action en justice.

On connais le nombre d'étudiant pris mais combien ne sont pas pris ? Combien d'étudiants chaque années triche au bac par exemple sans se faire prendre par exemple ? on ne le sait pas.

[e101mk2]

Je pense surtout que c'est la partie immergé de l'iceberg.

L'étudiant intelligent trichera de manière modéré, celui qui à accès par exemple aux réponses de son contrôle fera exprès de faire quelques faute pour pas éveiller les soupcons.
[...]
Le bon sens aurais voulue que cette étudiant augmente un peu ces notes mais aussi celle de ces camarades afin de brouiller les pistes au cas ou.

Moi j'aurais fait l'enfoiré de base. J'aurais augmenté un peu mes notes, mais j'aurais fortement augmentée les notes des fouteurs de merde/débile au gros muscle.
Toujours camoufler son acte, et surtout créer un coupable parfait!!! Mais bon, quand j'était à l'école, j'ai jamais eu besoin de tricher, c'est pas sport.

[piGrimm]

Ici nous percevons de plein fouet, les limites du "tout informatisé". Les élèves ne savent plus lire, écrire, compter - même dans des classes avancées - sans un smart phone (15h/jour sur des applis débilitantes) et un correcteur machine; par contre, ils savent pirater et resquiller comme jamais!
Je pense qu'il est des domaines humains affiliés à la Connaissance, qui méritent le retour au sources et à la responsabilité "non-délégable", du "M"aître... forçant le moindre Respect nécessaire à la construction mentale et morale de l'élève. L'automatisation outrancière et le laxisme sont les 2 mamelles du champ de foire en jachère

[AstralBit]

Ca me rappelle quand j'étais à l'université. A un moment dans l'année le débit internet de la fac entière était diminué de plus de 60%. Personne ne s'était rendu compte que des étudiants en informatique avait squatté la bande passante par je ne sais quelle technique tout ca pour télécharger des vidéos de séries et consort... Conseil de discipline. Conséquence: Exit>Alt+F4.
Pas très malin quand on est la pour apprendre des trucs un peu plus intéressant... Un peu comme tous ces mecs jouant à Warcraft3 (oui, ça remonte!) squattant la salle informatique h24 (oui, oui, la nuit aussi) censée être utilisée pour les TP. En même temps, c'est tant mieux, je leur ai jamais rien dit, ils baissaient la moyenne ces débiles donc remontait automatiquement ma note... Les cotas l'obligent!

Par la suite, quand j'étais pion dans un collège, je ne compte plus le nombre de problèmes de sécurité mis en place à cause du laxisme des profs, surveillant, CPE avec leurs mots de passes. Ils l'écrivent sur un papier scotché sur l'ordinateur (c'est tellement plus simple qu'il me disait). Ou encore REFUSENT catégoriquement de fermer la session quand tu leur parle des conséquences (RAF). Et forcément tu te fait presque insulter quand c'est le cas... Le summum c'est le prof qui donne son mot de passe à l'élève devant toi et dis à l'élève de faire l'appel sur l'ordinateur à sa place parce qu'il a un truc important à faire... bien sur! Il pouvait avoir accès aux notes aussi il me semble, mais je suis pas certain.

Régulièrement les élèves me donnait les mots de passes (juste comme ca) qu'ils avaient trouvés dans la journée. Et si je me log avec le mot de passe et que je fous tout dans la poubelle. Si on ne me trouve pas, on va taper sur les doigts de qui? Personne à mon avis par contre si un élève se fait prendre parce qu'il à envie de toucher le trésor qu'on lui met presque sous la main... on lui dévissera la tête!
Bizarre.

[R6502]

Petite anecdote s'étant déroulée en 1979, 80 ou 81, je ne me rappelle plus exactement. Un élève de ma classe de SPE M qui s'était rendu en salle des profs, aperçoit un sujet de DS et en récupère un exemplaire. Après coup il réalise qu'il n'a pas piqué le sujet qui nous est destiné mais celui de la classe de SPE P. Tous les élèves (sauf un, "évité") planchent sur le sujet le midi avant de composer lors de l'après-midi. Le prof est très content du résultat de la classe. Par contre lors de la correction en classe il y a un léger problème. Une élève envoyée au tableau se retrouve incapable de réaliser une démonstration et un peu perdue. Le prof ne comprend pas qu'elle soit incapable de reproduire ce qu'elle avait fait dans son DS. Elle finie par avouer qu'il y a eu une fuite... C'est ballot d'apprendre par cœur et de ne pas comprendre, d'autant plus que la correction en classe était la pratique courante...
Elle a du s'en sortir relativement bien (je ne me rappelle plus depuis le temps, peut être un simple zéro). Toute la classe a du replancher sur un autre DS car le prof a compris qu'elle n'était probablement pas la seule dans la confidence.
Pas d'informatique (le PC n'était pas encore là), mais faille de sécurité quand même...

[Ryu2000]

Néanmoins, ce n'est pas la première fois que les étudiants piratent leur établissement ou leurs professeurs pour tenter de changer leurs notes. En 2015, un lycée de Louisiane a suspendu 45 de ses étudiants pour avoir piraté le système de notation de l'école et changé les notes.

C'est marrant, parce que du côté de l'étudiant c'est super excitant et ça donne une sensation de pouvoir et de danger.
Voler des identifiants, se connecter sous une session, prendre des risques, etc.

Du côté des enseignants, il y avait plein de solutions pour ne pas que ça arrive.
Solution manuelle :
- Écrire les notes sur une feuille et, à la fin, comparer la note sur le logiciel avec la note sur le papier
Solution numérique :
- Faire une historique, garder la date de modification de la note, mettre des alertes (il faut un message : "Vous avez changé cette note le xx/xx/xxxx à yy:yy:yy")

Bon après le gars qui s'est fait prendre est un peu nul, on ne change pas un F en A...
D- / C+ auraient été peut être plus discret !

[Invité]

Du côté des enseignants, il y avait plein de solutions pour ne pas que ça arrive.
Solution manuelle :
- Écrire les notes sur une feuille et, à la fin, comparer la note sur le logiciel avec la note sur le papier
Solution numérique :
- Faire une historique, garder la date de modification de la note, mettre des alertes (il faut un message : "Vous avez changé cette note le xx/xx/xxxx à yy:yy:yy")

Mais les enseignants n'ont pas la main sur l'environnement. C'est celui de l'éducation nationale. Et pour le papier, vérifier manuellement les 10 notes de leurs 300 élèves, moi je ne le ferai pas. Ce n'est pas leur travail.
La grève des enseignants il y a deux semaines portait entre autres sur la lourdeur administrative et l'augmentation du nombre de tâches annexes dont ils ont la charge (notamment les procédures interminables pour rendre compte de leur travail -- paradoxalement). En fait, à ce rythme-là, ils n'auront bientôt plus le temps d'enseigner.

[Cpt Anderson]

Petite anecdote s'étant déroulée en 1979, 80 ou 81, je ne me rappelle plus exactement. Un élève de ma classe de SPE M qui s'était rendu en salle des profs, aperçoit un sujet de DS et en récupère un exemplaire. Après coup il réalise qu'il n'a pas piqué le sujet qui nous est destiné mais celui de la classe de SPE P. Tous les élèves (sauf un, "évité") planchent sur le sujet le midi avant de composer lors de l'après-midi. Le prof est très content du résultat de la classe. Par contre lors de la correction en classe il y a un léger problème. Une élève envoyée au tableau se retrouve incapable de réaliser une démonstration et un peu perdue. Le prof ne comprend pas qu'elle soit incapable de reproduire ce qu'elle avait fait dans son DS. Elle finie par avouer qu'il y a eu une fuite... C'est ballot d'apprendre par cœur et de ne pas comprendre, d'autant plus que la correction en classe était la pratique courante...
Elle a du s'en sortir relativement bien (je ne me rappelle plus depuis le temps, peut être un simple zéro). Toute la classe a du replancher sur un autre DS car le prof a compris qu'elle n'était probablement pas la seule dans la confidence.
Pas d'informatique (le PC n'était pas encore là), mais faille de sécurité quand même...

Petite anecdote lorsque j'étais en BTS. Nous avions des DS le samedi matin et nous redoutions tous les DS de Régulations/Automatismes, toujours très difficiles. Le DS du samedi se déroule et la semaine suivante le prof rend les copies. D'emblée, tu sens le prof hyper mécontent...Les notes partent de 0. Perso, je me tape 4 sur 20, et au final, c'est la moyenne de la classe avec très peu de notes au dessus de la moyenne, même le meilleur termine avec 10 ou 11. Le seul hic, une personne a 20/20. Et c'est un cancre. Le con avait chopé le DS avant, bien sur, et avait rendu une copie sans aucune faute. Quel crétin, on a tous bien rigolé quand même malgré nos notes dégueulasses.

[MikeRowSoft]

Pour moi, c'est un problème matériel de l'ordinateur grand public mais pas adapté à un usage "public".

L’aspect logiciel peu parfois permettre de contourné le keylogger, sauf quand la souris est face à un clavier virtuel ordinaire.

[ZenZiTone]

Néanmoins, ce n'est pas la première fois que les étudiants piratent leur établissement ou leurs professeurs pour tenter de changer leurs notes. En 2015, un lycée de Louisiane a suspendu 45 de ses étudiants pour avoir piraté le système de notation de l'école et changé les notes.

Pour moi, le plus gros problème ici n'est pas la falsification des notes (c'est même anecdotique..). En revanche, ça montre que n'importe qui, étudiant ou personnel, est en mesure d'accéder aux informations confidentielles d'autres personnes. C'est à dire blague de mauvais genre (au meilleur des cas) jusqu'à l'usurpation d'identité.

Un problème de sécurité informatique? Un simple caisson à clef pour accéder au PC pourrait déjà résoudre ce genre de problèmes..

[Ryu2000]

Un simple caisson à clef pour accéder au PC pourrait déjà résoudre ce genre de problèmes..

Dans les écoles ça ne fonctionne pas comme ça.
Quand un utilisateur se connecte, son profil est chargé sur le PC, du coup il a accès à son compte depuis n'importe quel PC du réseau.
Les profs utilisent forcément ce système.

À moins qu'on ne mette qu'un seul PC, déconnecté du réseau, dans la salle des profs, que tous les profs doivent se partager pour entrer les notes (ce qui n'est pas possible).

[ZenZiTone]

Dans les écoles ça ne fonctionne pas comme ça.
Quand un utilisateur se connecte, son profil est chargé sur le PC, du coup il a accès à son compte depuis n'importe quel PC du réseau.
Les profs utilisent forcément ce système.

Attention, mettre le PC dans un caisson ça veut juste dire que ceux possédant la clef peuvent accéder au boitier du PC (ajouter une clef USB, changer la souris, etc..). Le prof n'a besoin que d'accéder au bouton "power" ainsi qu'aux périphériques du PC.

Laisser le PC à disposition revient au même que de ne pas mettre de serrure sur un salle réseau.

[R6502]

Excès de confiance, croire que les humains sont tous bon. Faudrait savoir ce qu'était cette "salle de conférence", si c'est un amphi de cours dans ce cas pas très judicieux d'avoir accès au système de notation, si c'est une salle destinée à l'administration les étudiants n'ont pas à y accéder, si l'usage est mixte ça se complique.

Séparer réseau de prod et administratif, ça introduit quelques contraintes mais ça complique la tâche même ce n'est pas infaillible.

Capot fermé à clef à condition que celle-ci ne soit pas pas trop facilement crochetable.

Quand je bossais dans un centre de formation les salles étaient équipées d'un PC fixe avec un splitter vidéo (écran encastré dans le bureau + vidéoprojecteur), j'avais fini par fixer tous les câbles (électriques, vidéo, clavier, souris) avec des colliers Rilsan car j'en avais marre de courir tous les matins parce que certains formateurs équipés de portables débranchaient tout et n'importe quoi. Même en ne laissant libre que le câble VGA et en ayant scotché une notice sur le bureau j'avais encore besoin d'intervenir parce qu'on coupait les Rilsan (parfois SOUS le bureau). La bonne blague était de forcer et de débrancher l'alim du splitter vidéo en voulant débrancher l'alim du micro portable (parfois téléphone portable du formateur). Bon comme je suis Picard (c'est bien plus têtu qu'un Breton!!!) je doublais le nombre de Rilsan voir dans les cas extrêmes je mettais 2 Colson. Çà s'est amélioré quand tous nos formateurs internes ont été équipés de micro portable: suppression des ordis fixes+splitter sauf dans les salles informatiques où les apprenants disposent aussi d'un ordi. Mais un problème chassant l'autre les formateurs externes râlaient parfois car ils arrivaient sans portable vu que "mais avant vous aviez des micros dans vos salles!!!".

Tout ça pour dire que l'on a beau multiplier les obstacles, ça complique, ça ralenti les personnes mal intentionnées mais rien n'est complètement infaillible. Avoir un responsable sécurité et lui donner les moyens de faire son boulot. Et aussi avoir une culture sécurité dans la boîte. Je n'ai jamais réussi à faire comprendre à nos formateurs que leurs cours n'avaient peut-être pas besoin d'être vus par les formateurs externes avec lesquels ils pouvaient se retrouver en concurrence.
Les accès Internet nécessitaient un code strictement personnel pour accèder au proxy avec signature d'une charte interdisant entre autre la divulgation de son login/MdP, pendant des années j'en ai vu des dizaines circuler dans la boîte (très grande entreprise publique), parfois (assez souvent) appartenant à des cadres supérieurs. Bon, le jour où la DSI a décidé de supprimer les comptes utilisés simultanément sur plusieurs ordis j'ai bien rigolé (bon un peu moins quand ils dépendaient de ma zone et que je devais refaire les demandes)...

[Momoth]

On connais le nombre d'étudiant pris mais combien ne sont pas pris ? Combien d'étudiants chaque années triche au bac par exemple sans se faire prendre par exemple ? on ne le sait pas.

Je trouve pas que ça soit forcément comparable. En soit, brancher un keylogger matériel demande pas énormément d'inspiration ou de compétence. Par contre, j'ai vu des gars tricher au bac avec des méthodes juste géniales. Un gars de ma classe a passer une année a jouer avec sa règle en métal au point que tout le monde pensait à un toc quand il réfléchissait. Au final, c'était juste un gros fumiste qui le jour du bac avait inscrit certaines formules dessus. C'était un petit lycée de campagne et du coup, c'était nos profs qui nous surveillait. Il le savait et l'a pris en compte.

Enfin, tout ça pour dire, que je ne condamne pas forcément la triche pour peu qu'elle soit élaborée. Le gars en avait dans le casque mais n'était juste pas du tout intéressé. Il a donc trouvé un "autre" moyen d'être noté sur ses compétences, on va dire . Quelque part, la triche, c'est du sport ! Et les keyloggers matériels, c'est efficace mais ça fait petit joueur.

[Ryu2000]

Attention, mettre le PC dans un caisson ça veut juste dire que ceux possédant la clef peuvent accéder au boitier du PC (ajouter une clef USB, changer la souris, etc..).

AAAAAAAAH ! Je n'avais pas compris...
Ce n'est pas réalisable on ne peut pas cacher toutes les tours.
Et de toutes façons les élèves doivent avoir accès aux ports USB pour brancher une clé au cas où ils doivent copier des documents.
Ainsi qu'au lecteur/graveur DVD.


Les élèves qui branchent un keylogger prennent un risque énorme, si ils se font prendre ils se font virer directement de l'établissement.

[RyzenOC]

Les élèves qui branchent un keylogger prennent un risque énorme, si ils se font prendre ils se font virer directement de l'établissement.

Le risque est minime. Un keylogger sa se branche en 3 seconde, les profs ne surveillent pas chaque salle et chaque élève 24h/24 et y'a pas de camera dans les salles.
Faut vraiment pas avoir de bol pour qu'un prof nous regarde durant ce laps de temps très très court ou tu insère le keylogger.

Mais pas besoin d'un keylogger qu'on branche a de l'usb, un simple .exe winrar qui installe un script autoIt dans le dossier démarrage de Windows suffit.
Ou mieux une clé spécifique compatible windows mac et linux

[Ryu2000]

Le risque est minime. Un keylogger sa se branche en 3 seconde, les profs ne surveillent pas chaque salle et chaque élève 24h/24 et y'a pas de camera dans les salles.

Ouais mais ça doit être ultra stressant quand même.
Et c'est pas forcément évident, il faut savoir à quel PC le prof va se connecter.
Un élève peut balancer si il le voit.

Ou alors on interdit aux profs de se connecter aux pc de bureau et on les contraints à utiliser un PC portable...

[ZenZiTone]

Ce n'est pas réalisable on ne peut pas cacher toutes les tours.
Et de toutes façons les élèves doivent avoir accès aux ports USB pour brancher une clé au cas où ils doivent copier des documents.
Ainsi qu'au lecteur/graveur DVD.

Clef USB = faille de sécurité. Donc soit ils mettent en place des plateformes d'échanges, soit des PC dédiés à ce genre de pratique. Mais pour moi, les PC de travail des profs (car là, il s'agissait bien de ça) ne doivent en aucun cas être accessible via des périphériques externe.

[Invité]

Clef USB = faille de sécurité. Donc soit ils mettent en place des plateformes d'échanges, soit des PC dédiés à ce genre de pratique. Mais pour moi, les PC de travail des profs (car là, il s'agissait bien de ça) ne doivent en aucun cas être accessible via des périphériques externe.

Tout à fait d'accord. Pendant mes études supérieurs, tous les élèves avaient accès à leur document via un environnement numérique de travail (ent), c'était très pratique et très simple, pas besoin d'utiliser de clé USB.