Bienvenue, Invité
Nom d'utilisateur : Mot de passe : Se souvenir de moi

SUJET : Miracles de la fraude numérique

N°12 Île des mathématiques 03 Mai 2014 10:50 #10369

  • Loys
  • Portrait de Loys
  • Hors Ligne
  • Administrateur
  • Messages : 13344
Solution suggérée sur Twitter :



www.ilemaths.net/
Ce qui est moderne peut (aussi) être idiot.
L'administrateur a désactivé l'accès en écriture pour le public.

N°13 La récolte des codes pour le Bac (TPs/ECE) 27 Mai 2014 11:58 #10654

  • Loys
  • Portrait de Loys
  • Hors Ligne
  • Administrateur
  • Messages : 13344
C'est astucieux : comment échanger et connaître les sujets des ECE 2014 avant de les passer et gagner ainsi 48 points au minimum au bac !

Un exemple avec TiPlanet.org :



Edit : et rebelote en 2017 ! :topla:

www.laviemoderne.net/forum/cursus-et-exa...u-bac?start=60#19160
Ce qui est moderne peut (aussi) être idiot.
L'administrateur a désactivé l'accès en écriture pour le public.

"Les étudiants chinois qui trichent utilisent du High-Tech (et un Nokia)" (Hitek) 14 Jui 2014 19:12 #10922

  • Loys
  • Portrait de Loys
  • Hors Ligne
  • Administrateur
  • Messages : 13344
Bon évidemment nous sommes surclassés par les étudiants chinois...



Source : hitek.fr/actualite/triche-examens-chine-high-tech_2926
Ce qui est moderne peut (aussi) être idiot.
L'administrateur a désactivé l'accès en écriture pour le public.

N°13 La récolte des codes pour le Bac (TPs/ECE) 14 Jui 2014 22:52 #10929

  • archeboc
  • Portrait de archeboc
  • Hors Ligne
  • Modérateur
  • Messages : 666
Loys écrit:
C'est astucieux : comment échanger et connaître les sujets des ECE 2014 avant de les passer et gagner ainsi 48 points au minimum au bac !

Un exemple avec TiPlanet.org :

Il y a vingt ans, les prépas de Sainte Geneviève (Versailles) envoyaient leurs étudiants de sup à tous les oraux un peu corsés (ENS, X, Mines, Ponts) pour récolter les sujets. Ils en faisaient des recueils que les élèves avaient pour consigne de ne partager qu'entre eux. Cela s'appelait les khals de Ginettte, et celles que l'on arrivait à récupérer, hors Ginette, n'étaient jamais celles de l'année.
L'administrateur a désactivé l'accès en écriture pour le public.

N°13 La récolte des codes pour le Bac (TPs/ECE) 14 Jui 2014 23:23 #10932

  • Loys
  • Portrait de Loys
  • Hors Ligne
  • Administrateur
  • Messages : 13344
Finalement c'est une bonne nouvelle : la démocratisation est en route !
Ce qui est moderne peut (aussi) être idiot.
L'administrateur a désactivé l'accès en écriture pour le public.

N°14 : télécharger des antisèches pour calculatrice 04 Jui 2015 18:47 #14070

  • Loys
  • Portrait de Loys
  • Hors Ligne
  • Administrateur
  • Messages : 13344
Un article d'un blog hébergé du "Monde" : "Comment remplir intelligemment sa calculatrice pour le bac ?" du 4/06/15

Quelque chose est masqué pour les invités. Veuillez vous connecter ou vous enregistrer pour le visualiser.
Ce qui est moderne peut (aussi) être idiot.
L'administrateur a désactivé l'accès en écriture pour le public.

N°15 : hacker son ENT 21 Oct 2015 15:18 #14971

  • Loys
  • Portrait de Loys
  • Hors Ligne
  • Administrateur
  • Messages : 13344
Plus radicale comme fraude : "Hacker vaillant, rien d'impossible" du 21/10/2015.

Ce qui est moderne peut (aussi) être idiot.
L'administrateur a désactivé l'accès en écriture pour le public.

"Hacker vaillant, rien d'impossible" 24 Oct 2015 18:55 #15030

  • verdurin
  • Portrait de verdurin
  • Hors Ligne
  • Candide
  • Messages : 5
En fait, c'était déjà possible avant.
J'ai vu le cas d'une élève admise dans une école avec un bulletin trafiqué grâce à un habile montage de photocopies.
Elle fut démasquée quand d'autres, meilleurs qu'elle, se plaignirent de ne pas avoir été admis.

L'informatique se contente de faciliter ce genre de comportement, et de les rendre moins détectables.
L'administrateur a désactivé l'accès en écriture pour le public.

"Hacker vaillant, rien d'impossible" 25 Oct 2015 09:27 #15034

  • Loys
  • Portrait de Loys
  • Hors Ligne
  • Administrateur
  • Messages : 13344
Précisément, aujourd'hui ce n'est plus l'élève qui envoie ses bulletins : les moyennes et appréciations sont transmises par l'établissement lui-même.
Ce qui est moderne peut (aussi) être idiot.
L'administrateur a désactivé l'accès en écriture pour le public.

"Hacker vaillant, rien d'impossible" 04 Déc 2015 22:41 #15364

  • LeCancre
  • Portrait de LeCancre
  • Hors Ligne
  • Candide
  • Messages : 9
Lol.
Je ne sais pas quel est ce logiciel ENT. Mais en effet, hacker vaillant rien d'impossible! Une faille est une faille, et tout logiciel mal fichu mérite sa punition. Et un pied au cul et un bravo au gamin. Bravo pour le piratage, pied au cul pour le manque de mentalité qui aurait du l'inciter à balancer le code à tout le monde.
Si les entreprises françaises vous fournissent des interfaces de m... avec une protection de m..., faites jouer si possible la concurrence. Demandez... aux Américains, aux Chinois, aux Roumains. Ils vous fournissent du code cousu main, à l'abri des scripts-kiddies.

Au fait, il n'y a pas que le code qui est fragile. Les mots de passe employés par le proviseur ou autre. Les dates de naissance, etc.
Une méthode pour générer un bon mot de passe? Choisissez votre poème préféré (ex: le renard et les raisins). Puis alternez la première lettre du mot et le nombre de lettre du mot. Résultat: un mot de passe difficilement cassable par les logiciels généraux.
Exemple:
Certain Renard Gascon, d'autres disent Normand,
C7R6G6,d1'a6d6N7,
NB: certains logiciels digèrent mal les caractères diacritiques et les caractères de ponctuation(1). Supprimez les seconds et utilisez la lettre simple pour les premiers.
(1)Cf votre collègue prof d'informatique qui vous expliquera que, pour des raisons... historiques, il est prudent(2) de se limiter aux 256 premiers caractères (en fait, moins de 256, une partie servant à coder les retour à la ligne, les fins de supports(cassette, disquette, disque dur, disque optique), les "bings", etc.).
fr.wikipedia.org/wiki/American_Standard_...ormation_Interchange
(2)Question de place. Du temps où une disquette valait un disque dure d'aujourd'hui, le moindre octet économisé valait la peine. Pour gagner de la place, on minimisait. D'abord pas de différences entre majuscules et minuscules. Puis différences, mais pas d'accent. Etc. Demandez à votre prof de biologie le codage de l'ADN et pourquoi le triplet. ;)

le 6/12: correctif de ce que j'avais écrit. La faille ne vient pas du logiciel, elle vient de ceux qui l'utilisent. Ca m'apprendra à ne pas lire l'énoncé correctement!!!
L'administrateur a désactivé l'accès en écriture pour le public.

"Hacker vaillant, rien d'impossible" 04 Déc 2015 22:55 #15365

  • verdurin
  • Portrait de verdurin
  • Hors Ligne
  • Candide
  • Messages : 5
Hum.

Je doute qu'il y ai un logiciel sans faille.
En fait je trouve 0+0=θττ assez prétentieux.
L'administrateur a désactivé l'accès en écriture pour le public.

"Hacker vaillant, rien d'impossible" 06 Déc 2015 22:51 #15373

  • LeCancre
  • Portrait de LeCancre
  • Hors Ligne
  • Candide
  • Messages : 9
Correctif du 6/12 et lecture correcte de l'énoncé! :D. En effet, Verdurin, mes propos étaient un peu prétentieux. J'ai bien mérité mon 0/20.

"Un élève a d’abord tenté en vain quelques tentatives d’injection SQL sur le site principal de l’ENT"
Traduction pour les néophytes (en gros): il a essayé de rentrer des commandes informatique dans le site web général pour voir si ça marchait. Par exemple comme si au lieu de mettre votre nom d'utilisateur (login), vous tapiez une commande informatique qui dit: "affiche moi la liste les utilisateurs du site et leurs mots de passe". C'est souvent un peu plus subtil, mais c'est l'idée générale. En général un système informatique bien conçu doit détecter et rejeter ces commandes.

" puis a cherché les noms des administrateurs des sites hébergés par cet ENT, les a recoupés avec des listes d’identifiants récupérables sur le web"
Ah, classique. Traduction: l'élève a cherché quelles étaient les personnes susceptibles de modifier les notes d'élèves (proviseurs, informaticiens, etc.) et a cherché à obtenir leurs adresses email, etc.

" et a obtenu une correspondance lui permettant d’accéder à un panneau d’administration"
Aie!!! Je retire ce que j'ai dis sur le logiciel! Faute humaine! :cry: :lol: :pendu:.
Traduction: l'élève sachant maintenant qui avait le droit de modifier les notes (par ex le proviseur) et connaissant le login (LeCancre, pour moi, sur ce site), il s'est arrangé pour trouver un document (lettre papier, email, document informatique) sur lequel était écrit ce login et le mot de passe qui allait avec. Et Il l'A Trouvé. Oups (!).
En gros, cet élève s'est trouvé à la fois avec -par exemple-, le mot de passe du proviseur et son login. Il pouvait se connecter au logiciel et faire tout ce qu'il voulait.

"Il a alors mis en ligne un shell pour accéder aux différentes parties du serveur et enfin récupérer les identifiants de tous les utilisateurs de cet ENT"
En gros, avec le login-mot de passe dont il disposait, il a pu avoir accès aux logins-mots de passe des autres utilisateurs. Il s'est alors créé un petit programme pour se connecter directement à l'ordinateur qui gère l'ENT (sans passer par le site internet) (ce qui aurait pu paraître suspect: si on voyait que son professeur de français se connectait à 10h du matin alors que le prof a cours à cet heure là...) et faire ce qu'il avait à faire..

Conclusion à froid: la faute vient à mon avis surtout de:
" a obtenu une correspondance lui permettant d’accéder à un panneau d’administration"
C'est comme si on laissait le mot de passe écrit sur un post-it bien visible sur le panneau d'affichage de la cantine...
Un document pareil, mieux vaut l'envoyer par courrier, puis le brûler (et pas le jeter dans la corbeille du bureau du proviseur, accessible à tous...).
Bravo aux enseignants qui se méfiaient de l'informatique et avaient gardé un double de leurs notes.

Au niveau logiciel... il aurait peut-être été possible de faire quelque chose, mais quoi?
Bloquer la modification de la base de donnée? Associer chaque manipulation à une trace (date heure de la manip') dans un fichier? Limiter les droits de manipulation des comptes à une seule personne? Créer une double base de donnée dont une seule est modifiable et l'autre garde toutes les évolutions horodatées? Difficile à dire. A partir du moment où une personne s'est loggée en tant qu'administrateur, elle peut souvent tout faire...
Je suis pour aussi le fait de conserver un double papier des informations importantes. Il existe encore des livres en papyrus ou parchemin de plus de mille ans. Alors que la durée moyenne de vie d'un disque dur est de 10ans...

Quand à l'élève, il est mûr pour l'école 42 :D :rirej
L'administrateur a désactivé l'accès en écriture pour le public.

"Hacker vaillant, rien d'impossible" 06 Déc 2015 23:09 #15374

  • LeCancre
  • Portrait de LeCancre
  • Hors Ligne
  • Candide
  • Messages : 9
verdurin écrit:
Hum.
Je doute qu'il y ai un logiciel sans faille.
Un logiciel sans faille est-il possible? Question de matheux qui me dépasse.
Je sais qu'on peut faire de petits logiciels sans faille. En connaissant parfaitement la machine, la manière dont le code influe la mémoire, en verrouillant chaque fonctionnalité au niveau langage machine, en connaissant parfaitement la manière dont réagissent les circuits électroniques.
Dès l'instant où l'on fait du code standard, le risque peut venir de multiples niveaux. Une faute du codeur (ex: ne pas supprimer certains caractères interdits dans un login). Une faute du compilateur (le logiciel qui transforme le code "lisible" en langage machine). Une faute de la machine (un circuit qui, lorsqu'il surchauffe, stocke 1 au lieu de 0), etc.
Les concepteurs de logiciels travaillent souvent avec des outils qui cherchent et éliminent le plus grand nombre de failles possible. Il peut en rester, ça se teste...
Si le risque lié à une éventuelle faille est énorme, on prévoit souvent des contre-mesures dans le cas où la faille se produirait. Ex: dans le cas de gestion d'une centrale nucléaire, il y a souvent des systèmes mécaniques (donc non informatiques) qui vont mesurer, indépendamment du code, que la centrale ne fait pas quelque chose d'anormal. Même ça, ça peut échouer...

De manière générale, et dans le cas du piratage, je pense qu'il est difficile de produire un logiciel sans aucune faille, mais qu'il est possible de produire des logiciels suffisamment sécurisés pour que l'attaque informatique ne soit possible que pour une minorité de personne.

Dans le cas présent, l'élève ne s'est en effet pas attaqué au logiciel mais a obtenu le login/mot de passe d'une personne pouvant utiliser le logiciel. C'est plus simple, plus efficace... et aucun logiciel ne résiste à ça: ils ne sont pas conçus pour.
L'administrateur a désactivé l'accès en écriture pour le public.

"Hacker vaillant, rien d'impossible" 07 Déc 2015 14:03 #15378

  • Kustolovic
  • Portrait de Kustolovic
  • Hors Ligne
  • Novice
  • Messages : 35
LeCancre écrit:
Dans le cas présent, l'élève ne s'est en effet pas attaqué au logiciel mais a obtenu le login/mot de passe d'une personne pouvant utiliser le logiciel. C'est plus simple, plus efficace... et aucun logiciel ne résiste à ça: ils ne sont pas conçus pour.
Et pourtant si. Je travaille dans une boîte qui met en place des systèmes intégrés pour entreprise. Bien que les numéristes scolaires aiment bien citer la numérisation des entreprises en exemples, il est dommage qu'ils aient oublié les normes de sécurité allant avec et le coût faramineux que cela représente. Travailler dans les conditions de sécurité dans lesquelles on travaille en entreprise multiplierait par 10 ou 100 les prix des ENT.

La première chose à gérer en matière de sécurité est de savoir que ce genre d'erreur arrive forcément. Il ne s'agit pas de l'accepter, mais de limiter les risque que cela arrive et de limiter la portée de cette erreur.

1) limiter les accès et multiplier les couches. En mettant en place un système intranet/extranet on exclu déjà que l'élève accède à l'interface d'authentification. Le corps enseignant accède à l'intranet depuis l'école ou depuis chez eux par un tunnel VPN. Les élèves/parents accèdent à un extranet sur lequel il est impossible de modifier les notes. En entreprise, je n'ai jamais vu qu'on n'installe pas ce genre de chose (c'est le B.A.-ba de la sécurité), mais dans les écoles, ça paraît superflu. Soit.

2) Limiter la portée des droits des utilisateurs. Un professeur ne peut modifier que les notes de ses élèves, certainement pas celles d'un «lycée voisin». Un responsable d'établissement lui ne peut modifier aucune note, etc. Les comptes administrateurs pouvant tout faire sont une faille de sécurité évidente. Si ces comptes existent, ils possèdent un mot de passe généré aléatoirement stockés dans un coffre, et ne doivent être utilisé que exceptionnellement. Dans les systèmes avancés, ces comptes n'ont même pas accès aux données.

3) Si se connecter avec un utilisateur quelconque permet d'installer un SHELL, la faille logicielle est de taille. Seconde loi de la sécurité informatique: ne pas faire confiance à ses utilisateurs.

4) Valider et verrouiller les données dès que possible. En comptabilité par exemple. il n'est pas possibles de modifier une pièce comptable, il faut faire une pièce rectificative devant être validée par un ou des tiers. Tout ce qui a été introduit est verrouillé. Une fois les conseils des profs fini, il est inconcevable que les notes soient encore modifiables.

Tout cela n'empêche pas qu'il y ait des failles et des possibilités de détourner le système. Mais ça limite sérieusement les risques et la portée des éventuels piratages. L'argument «aucun logiciel n'est sans faille» est trop souvent utilisé abusivement pour justifier qu'aucun système de sécurité un peu sérieux ne soit adopté, comme c'est le cas pour ces ENT, où l'on voit souvent des horreurs en matière de sécurité: données stockées sur le web, système à installer par un amateur sur un serveur mutualisé, etc.

S'il y a eu une faute humaine, c'est bel et bien les gouffres abyssaux en matière de sécurité du logiciel qui sont les premiers coupables.
L'administrateur a désactivé l'accès en écriture pour le public.

"Hacker vaillant, rien d'impossible" 07 Déc 2015 14:15 #15379

  • Kustolovic
  • Portrait de Kustolovic
  • Hors Ligne
  • Novice
  • Messages : 35
p.s. : J'ai oublié les systèmes de notification: Toute modification sur un note d'un élève pourrait être notifiée à qui de droit, automatiquement par exemple. Les manières de limiter la casse et d'éviter la plupart des problèmes sont légion. C'est juste dommage d'avoir oublié d'en mettre en place un seul. :shock:
L'administrateur a désactivé l'accès en écriture pour le public.

"Hacker vaillant, rien d'impossible" 07 Déc 2015 15:47 #15381

  • archeboc
  • Portrait de archeboc
  • Hors Ligne
  • Modérateur
  • Messages : 666
Kustolovic écrit:
2) Limiter la portée des droits des utilisateurs. [...] Un responsable d'établissement lui ne peut modifier aucune note,

Rhoo, ils ne vont pas être contents, les chefs d'établissement.

Kustolovic écrit:
Une fois les conseils des profs fini, il est inconcevable que les notes soient encore modifiables.

Vraiment, vraiment pas contents.

(multiples exemples disponibles sur le site neoprofs. Exemple : www.neoprofs.org/t97030p600-j-hallucine-boulot)

Allez, le blockchain va nous sauver de tout cela (et du reste).
L'administrateur a désactivé l'accès en écriture pour le public.

"Hacker vaillant, rien d'impossible" 07 Déc 2015 22:10 #15383

  • LeCancre
  • Portrait de LeCancre
  • Hors Ligne
  • Candide
  • Messages : 9
Kustolovic écrit:
LeCancre écrit:
Dans le cas présent, l'élève ne s'est en effet pas attaqué au logiciel mais a obtenu le login/mot de passe d'une personne pouvant utiliser le logiciel. C'est plus simple, plus efficace... et aucun logiciel ne résiste à ça: ils ne sont pas conçus pour.
Et pourtant si. Je travaille dans une boîte qui met en place des systèmes intégrés pour entreprise. Bien que les numéristes scolaires aiment bien citer la numérisation des entreprises en exemples, il est dommage qu'ils aient oublié les normes de sécurité allant avec et le coût faramineux que cela représente.
Merci! :) Je me sentais un peu seul... :)
Je n'ai pas voulu pousser le bouchon trop loin. J'ai supposé que les utilisateurs de ce site avaient une compréhension globale digne de ma chère Tata (prof de français), autrement dit: faible, faute de temps et d'envie.
Je pense que le facteur humain est la faille n°1. Mais que nous, créateurs de logiciels, pouvons y remédier en obligeant l'utilisateur à avoir de bonnes pratiques.
Le problème est toutefois un mélange de psychologie et d'informatique. Inciter les gens sans les rebuter. J'ai failli prendre comme exemple celui de la carte bleue: si vous possédez le mot de passe et la carte, vous pouvez faire (presque) tout ce que vous voulez.

Dans le cas de cet élève, je flaire que :
- soit la boite est une boite de branquignoles et ils autorisaient le chef d'établissement à tout faire.
- soit il a récupéré un login/mdp de dépanneur.

Deuxième hypothèse, la boite a mal déterminé quels étaient les risques. Par exemple qu'un lycéen oublie que son avenir est lié à ses notes(1). Boulette!

Hypothèse bis: les proviseurs auraient du se contenter d'un "logiciel sous excel", ils auraient été conscients des risques et ça leur aurait coûté moins cher.
Respects aux commerciaux de ENT: ils ont su vendre du rêve à des idiots.

(1) de mon temps: notes de 1ère terminale= entrée en prépa... ou non! Métier garanti ou non...
L'administrateur a désactivé l'accès en écriture pour le public.

"Hacker vaillant, rien d'impossible" 10 Déc 2015 13:55 #15413

  • archeboc
  • Portrait de archeboc
  • Hors Ligne
  • Modérateur
  • Messages : 666
LeCancre écrit:
Dans le cas de cet élève, je flaire que :
- soit la boite est une boite de branquignoles et ils autorisaient le chef d'établissement à tout faire.
- soit etc.

Mais le chef d'établissement a besoin de tout faite !
Sinon, comment ferait-il pour faire remonter au rectorat des chiffres qui prouvent les progrès de ses élèves ?

Soyons réaliste, Le risque n'est pas que les notes soient bidonnées, le risque, c'est qu'elles soient bidonnées par un élève sans accréditation et qui se fait prendre.
L'administrateur a désactivé l'accès en écriture pour le public.

"Une fraude digne de « Mission impossible » au concours de médecine thaïlandais" (Le Monde) 10 Mai 2016 17:34 #16434

  • Loys
  • Portrait de Loys
  • Hors Ligne
  • Administrateur
  • Messages : 13344
Un nouveau cas d'ingénierie numérique de la fraude : "Une fraude digne de « Mission impossible » au concours de médecine thaïlandais" dans "Le Monde" du 10/05/16.
Ce qui est moderne peut (aussi) être idiot.
L'administrateur a désactivé l'accès en écriture pour le public.

"Bac: comment changer ses notes ou pirater son école grâce au Darknet" (Cnet) 16 Jui 2016 20:36 #16683

  • Loys
  • Portrait de Loys
  • Hors Ligne
  • Administrateur
  • Messages : 13344
Dans "Cnet" du 16/06/16 : "Bac: comment changer ses notes ou pirater son école grâce au Darknet"

Quelque chose est masqué pour les invités. Veuillez vous connecter ou vous enregistrer pour le visualiser.
Ce qui est moderne peut (aussi) être idiot.
L'administrateur a désactivé l'accès en écriture pour le public.

N°16 : les devoirs tout faits grâce à Bonnenote.fr 09 Fév 2017 11:41 #18378

  • Loys
  • Portrait de Loys
  • Hors Ligne
  • Administrateur
  • Messages : 13344
Tout juste ouvert, le site Bonnenote.fr, propose de faire les devoirs à la place des élèves.

www.laviemoderne.net/forum/le-marche-de-...son-cafe-pedagogique
Ce qui est moderne peut (aussi) être idiot.
L'administrateur a désactivé l'accès en écriture pour le public.

N°17 Tricher avec l'ordinateur fourni par l'école 03 Mar 2017 22:45 #18501

  • Loys
  • Portrait de Loys
  • Hors Ligne
  • Administrateur
  • Messages : 13344
Appris d'une collègue : sa fille lycéenne écœurée d'entendre un élève en PPS bénéficiant pour raison médicale d'un ordinateur en classe (fourni par la MDPH) se vanter d'avoir triché pendant des évaluations en créant un partage de connexion avec son smartphone.

Ce qui est moderne peut (aussi) être idiot.
L'administrateur a désactivé l'accès en écriture pour le public.
Temps de génération de la page : 0.109 secondes
Propulsé par Kunena