Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Étudiant
    Inscrit en
    novembre 2013
    Messages
    245
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2013
    Messages : 245
    Points : 7 439
    Points
    7 439

    Par défaut Un adolescent de 16 ans a été suspendu pour avoir exposé des vulnérabilités dans le logiciel de son école

    Un adolescent de 16 ans a été suspendu pour avoir exposé des vulnérabilités dans le logiciel de son école
    par le biais d’une fonctionnalité du logiciel en question

    La sécurité des données est devenue la préoccupation majeure des entreprises ces dernières années, surtout en raison des nombreux cas de cyberattaques récemment enregistrées. On constate ainsi que de plus en plus d’institutions et d’entreprises investissent de grosses sommes d’argent pour se doter d’outils permettant d’assurer la sécurité de leurs systèmes et par conséquent des données qu’ils contiennent. Mais on remarque également que pour certains établissements scolaires, le système de cybersécurité peut parfois laisser à désirer, ce qui permet à des personnes dotées de connaissances en informatique, d’y accéder sans trop de difficultés.

    Bill Demirkapi fait partie des personnes ayant réussi à accomplir ce genre de prouesse. Demirkapi a parlé de ses prouesses lors de la conférence DEF CON de cette année à Vegas et parmi les nombreux exploits de ce genre qu’il dit avoir accompli, il a parlé d'une vulnérabilité découverte dans le logiciel qu’utilisait son école. Âgé de 16 ans au moment où il a réussi cet exploit, il était élève en première année de lycée à Lexington, dans le Massachusetts. En exploitant cette vulnérabilité, il a pu être en mesure d’accéder aux données personnelles des élèves comme les relevés de notes, les emplois de temps, les villes natales et bien plus encore.

    Le logiciel appartenait à deux des plus grands noms de la technologie de l'éducation : Blackboard et Follett Corporation. Ensemble, ces entreprises offrent des produits d’éducation en ligne à plus de la moitié des écoles américaines. Demirkapi fait savoir que ses intentions n’étaient pas du tout malveillantes et donc qu’il n’avait aucune intention d’abuser des failles découvertes, mais qu’au contraire, il souhaitait informer Follett Corporation, la société qui fabrique ce logiciel, afin qu'elle puisse résoudre le problème et rendre les données personnelles des étudiants plus sûres. Malheureusement pour lui, la société n’a jamais daigné donné suite à ses multiples tentatives pour la joindre et donc pour se faire entendre, il a décidé de s’y prendre autrement.

    Nom : security_defcon_high-school (1).jpg
Affichages : 3960
Taille : 39,5 Ko

    Il a utilisé une fonctionnalité du logiciel pour envoyer un message non seulement à l’entreprise Follet, mais également aux parents d’élèves, aux administrateurs de district, et aux enseignants, ce qui représente probablement des milliers de personnes. Après cela il était impossible de continuer à l’ignorer et il a écopé d’une suspension de l’école pour ça. Voici ce que contenait son message : « Bonjour, Bill Demirkapi 123 était ici. Follett Corporation n'a aucune sécurité. Voici vos cookies, ne vous inquiétez pas je ne les ai pas volés ».

    Le message a été supprimé après quelques heures et peu de temps après, la vulnérabilité a été corrigée. La méthode employée par Demirkapi pour se faire entendre peut-être critiquée, mais ce problème a permis de se rendre compte de comment il peut être difficile d’informer de manière responsable ces entreprises, des vulnérabilités découvertes dans leurs logiciels. George Gatsis, vice-président directeur de la technologie chez Follett, a remercié Demirkapi d’avoir aidé la société à identifier ses bugs et affirme que même avec les failles de sécurité qu'il exploitait, Demirkapi n'aurait jamais pu accéder aux données de Follett autres que les siennes. Demirkapi était naturellement en désaccord et a déclaré qu'il avait montré aux ingénieurs de la société le mot de passe piraté de son ami comme preuve.

    Demirkapi fait aussi remarquer que si lui, motivé uniquement par sa propre curiosité, pouvait si facilement accéder à ces bases de données d'entreprise, cela montrait bien que la sécurité dans les logiciels éducatifs est vraiment mauvaise. D’ailleurs, il a aussi découvert une vulnérabilité liée à l’injection SQL dans un logiciel de la société Blackboard. Un pirate qui aurait exploité cette faille aurait pu avoir accès à des données appartenant à 5000 écoles et à environ 5 millions d'élèves et d'enseignants. Ça représente vraiment beaucoup surtout quand on sait que ces données comprennent les adresses électroniques, les numéros de téléphone, les notes, les itinéraires, les dossiers de vaccination et les comptes de réseaux sociaux.

    Blackboard a également remercié Demirkapi, mais a fait valoir que, d’après leur analyse, personne n’avait eu accès à ces enregistrements par le biais de la vulnérabilité qu’il avait exposée. Seulement, il devient difficile de croire sur parole ces entreprises en ce qui concerne des cas de violations de données, car le plus souvent, les communiqués officiels ne reflètent pas ce qui s’est réellement passé.

    Source : Bill Demirkapi

    Et vous ?

    Pensez-vous qu’on doive le remercier ou le condamner ?

    Voir aussi :

    Un chercheur pirate le niveau de sécurité L3 de l'outil DRM gratuit de Google Qu'utilisent plusieurs fournisseurs de services de streaming
    Un hacker pirate des caméras de surveillance pour parler à un bébé, La sécurité des objets connectés est-elle remise en cause ?
    Des pirates informatiques attaquent un prestataire du Service de sécurité russe, dévoilent un projet de désanonymisation de Tor, Et d'autres projets

  2. #2
    Nouveau Candidat au Club Avatar de vivid
    Profil pro
    Inscrit en
    février 2006
    Messages
    75
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2006
    Messages : 75
    Points : 0
    Points
    0

    Par défaut

    c'est bien.. Maintenant il va falloir qu'il fasse preuve de curiosité alimentaires.

  3. #3
    Membre éprouvé

    Homme Profil pro
    Écrivain public, Économiste et Programmeur Free Pascal
    Inscrit en
    août 2005
    Messages
    197
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Écrivain public, Économiste et Programmeur Free Pascal
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : août 2005
    Messages : 197
    Points : 1 125
    Points
    1 125
    Billets dans le blog
    38

    Par défaut Génération des 3 ans

    Nous en France, on promeut une génération capable de croire qu'il n y a pas d'humain en face d'eux.
    À ce que j'en sais de ce que dirait la science, on n'aurait toujours pas prouvé qu'il y aurait de la vie. Cherchez l'erreur.
    Matthieu Giroux - Rennes - 13 Rue François Tanguy Prigent A 15
    Livres : editions.liberlog.org/
    Contact : matthius@framasphere.org
    Tous les liens : www.agoravox.tv/auteur/matthius

  4. #4
    Membre averti
    Homme Profil pro
    Étudiant
    Inscrit en
    janvier 2019
    Messages
    108
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Gabon

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2019
    Messages : 108
    Points : 325
    Points
    325

    Par défaut

    Citation Envoyé par vivid Voir le message
    c'est bien... Maintenant il va falloir qu'il fasse preuve de curiosité alimentaires.
    et on découvrira toutes les saletés que les entreprises agroalimentaires nous font gober sans que personne ne s'en rende compte.

  5. #5
    Membre expérimenté
    Homme Profil pro
    Développeur informatique
    Inscrit en
    octobre 2017
    Messages
    388
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : octobre 2017
    Messages : 388
    Points : 1 624
    Points
    1 624

    Par défaut

    Citation Envoyé par vivid Voir le message
    c'est bien.. Maintenant il va falloir qu'il fasse preuve de curiosité alimentaires.
    Commentaire parfaitement idiot!

  6. #6
    Membre expérimenté
    Homme Profil pro
    Développeur informatique
    Inscrit en
    octobre 2017
    Messages
    388
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : octobre 2017
    Messages : 388
    Points : 1 624
    Points
    1 624

    Par défaut

    Un adolescent de 16 ans a été suspendu pour avoir exposé des vulnérabilités dans le logiciel de son école
    Finalement l'Humain n'a pas franchement changé au fil des siècles: Dans l'Antiquité et au Moyen-Age quand un messager apportait de mauvaises nouvelles, celui-ci finissait au mieux dans un cachot au pire la tête coupée sur le billot!

Discussions similaires

  1. Réponses: 6
    Dernier message: 29/06/2019, 02h12
  2. Réponses: 142
    Dernier message: 21/12/2017, 15h05
  3. Réponses: 15
    Dernier message: 04/02/2010, 15h21
  4. Réponses: 0
    Dernier message: 02/02/2010, 11h58

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo