Miracles de la fraude numérique

Hum.
Je doute qu'il y ai un logiciel sans faille.
En fait je trouve 0+0=θττ assez prétentieux.

Correctif du 6/12 et lecture correcte de l'énoncé! . En effet, Verdurin, mes propos étaient un peu prétentieux. J'ai bien mérité mon 0/20.
"Un élève a d’abord tenté en vain quelques tentatives d’injection SQL sur le site principal de l’ENT"
Traduction pour les néophytes (en gros): il a essayé de rentrer des commandes informatique dans le site web général pour voir si ça marchait. Par exemple comme si au lieu de mettre votre nom d'utilisateur (login), vous tapiez une commande informatique qui dit: "affiche moi la liste les utilisateurs du site et leurs mots de passe". C'est souvent un peu plus subtil, mais c'est l'idée générale. En général un système informatique bien conçu doit détecter et rejeter ces commandes.
" puis a cherché les noms des administrateurs des sites hébergés par cet ENT, les a recoupés avec des listes d’identifiants récupérables sur le web"
Ah, classique. Traduction: l'élève a cherché quelles étaient les personnes susceptibles de modifier les notes d'élèves (proviseurs, informaticiens, etc.) et a cherché à obtenir leurs adresses email, etc.
" et a obtenu une correspondance lui permettant d’accéder à un panneau d’administration"
Aie!!! Je retire ce que j'ai dis sur le logiciel! Faute humaine! .
Traduction: l'élève sachant maintenant qui avait le droit de modifier les notes (par ex le proviseur) et connaissant le login (LeCancre, pour moi, sur ce site), il s'est arrangé pour trouver un document (lettre papier, email, document informatique) sur lequel était écrit ce login et le mot de passe qui allait avec. Et Il l'A Trouvé. Oups (!).
En gros, cet élève s'est trouvé à la fois avec -par exemple-, le mot de passe du proviseur et son login. Il pouvait se connecter au logiciel et faire tout ce qu'il voulait.
"Il a alors mis en ligne un shell pour accéder aux différentes parties du serveur et enfin récupérer les identifiants de tous les utilisateurs de cet ENT"
En gros, avec le login-mot de passe dont il disposait, il a pu avoir accès aux logins-mots de passe des autres utilisateurs. Il s'est alors créé un petit programme pour se connecter directement à l'ordinateur qui gère l'ENT (sans passer par le site internet) (ce qui aurait pu paraître suspect: si on voyait que son professeur de français se connectait à 10h du matin alors que le prof a cours à cet heure là...) et faire ce qu'il avait à faire..
Conclusion à froid: la faute vient à mon avis surtout de:
" a obtenu une correspondance lui permettant d’accéder à un panneau d’administration"
C'est comme si on laissait le mot de passe écrit sur un post-it bien visible sur le panneau d'affichage de la cantine...
Un document pareil, mieux vaut l'envoyer par courrier, puis le brûler (et pas le jeter dans la corbeille du bureau du proviseur, accessible à tous...).
Bravo aux enseignants qui se méfiaient de l'informatique et avaient gardé un double de leurs notes.
Au niveau logiciel... il aurait peut-être été possible de faire quelque chose, mais quoi?
Bloquer la modification de la base de donnée? Associer chaque manipulation à une trace (date heure de la manip') dans un fichier? Limiter les droits de manipulation des comptes à une seule personne? Créer une double base de donnée dont une seule est modifiable et l'autre garde toutes les évolutions horodatées? Difficile à dire. A partir du moment où une personne s'est loggée en tant qu'administrateur, elle peut souvent tout faire...
Je suis pour aussi le fait de conserver un double papier des informations importantes. Il existe encore des livres en papyrus ou parchemin de plus de mille ans. Alors que la durée moyenne de vie d'un disque dur est de 10ans...
Quand à l'élève, il est mûr pour l'école 42

verdurin écrit: Hum.
Je doute qu'il y ai un logiciel sans faille.

Un logiciel sans faille est-il possible? Question de matheux qui me dépasse.
Je sais qu'on peut faire de petits logiciels sans faille. En connaissant parfaitement la machine, la manière dont le code influe la mémoire, en verrouillant chaque fonctionnalité au niveau langage machine, en connaissant parfaitement la manière dont réagissent les circuits électroniques.
Dès l'instant où l'on fait du code standard, le risque peut venir de multiples niveaux. Une faute du codeur (ex: ne pas supprimer certains caractères interdits dans un login). Une faute du compilateur (le logiciel qui transforme le code "lisible" en langage machine). Une faute de la machine (un circuit qui, lorsqu'il surchauffe, stocke 1 au lieu de 0), etc.
Les concepteurs de logiciels travaillent souvent avec des outils qui cherchent et éliminent le plus grand nombre de failles possible. Il peut en rester, ça se teste...
Si le risque lié à une éventuelle faille est énorme, on prévoit souvent des contre-mesures dans le cas où la faille se produirait. Ex: dans le cas de gestion d'une centrale nucléaire, il y a souvent des systèmes mécaniques (donc non informatiques) qui vont mesurer, indépendamment du code, que la centrale ne fait pas quelque chose d'anormal. Même ça, ça peut échouer...
De manière générale, et dans le cas du piratage, je pense qu'il est difficile de produire un logiciel sans aucune faille, mais qu'il est possible de produire des logiciels suffisamment sécurisés pour que l'attaque informatique ne soit possible que pour une minorité de personne.
Dans le cas présent, l'élève ne s'est en effet pas attaqué au logiciel mais a obtenu le login/mot de passe d'une personne pouvant utiliser le logiciel. C'est plus simple, plus efficace... et aucun logiciel ne résiste à ça: ils ne sont pas conçus pour.

LeCancre écrit: Dans le cas présent, l'élève ne s'est en effet pas attaqué au logiciel mais a obtenu le login/mot de passe d'une personne pouvant utiliser le logiciel. C'est plus simple, plus efficace... et aucun logiciel ne résiste à ça: ils ne sont pas conçus pour.

Et pourtant si. Je travaille dans une boîte qui met en place des systèmes intégrés pour entreprise. Bien que les numéristes scolaires aiment bien citer la numérisation des entreprises en exemples, il est dommage qu'ils aient oublié les normes de sécurité allant avec et le coût faramineux que cela représente. Travailler dans les conditions de sécurité dans lesquelles on travaille en entreprise multiplierait par 10 ou 100 les prix des ENT.
La première chose à gérer en matière de sécurité est de savoir que ce genre d'erreur arrive forcément. Il ne s'agit pas de l'accepter, mais de limiter les risque que cela arrive et de limiter la portée de cette erreur.
1) limiter les accès et multiplier les couches. En mettant en place un système intranet/extranet on exclu déjà que l'élève accède à l'interface d'authentification. Le corps enseignant accède à l'intranet depuis l'école ou depuis chez eux par un tunnel VPN. Les élèves/parents accèdent à un extranet sur lequel il est impossible de modifier les notes. En entreprise, je n'ai jamais vu qu'on n'installe pas ce genre de chose (c'est le B.A.-ba de la sécurité), mais dans les écoles, ça paraît superflu. Soit.
2) Limiter la portée des droits des utilisateurs. Un professeur ne peut modifier que les notes de ses élèves, certainement pas celles d'un «lycée voisin». Un responsable d'établissement lui ne peut modifier aucune note, etc. Les comptes administrateurs pouvant tout faire sont une faille de sécurité évidente. Si ces comptes existent, ils possèdent un mot de passe généré aléatoirement stockés dans un coffre, et ne doivent être utilisé que exceptionnellement. Dans les systèmes avancés, ces comptes n'ont même pas accès aux données.
3) Si se connecter avec un utilisateur quelconque permet d'installer un SHELL, la faille logicielle est de taille. Seconde loi de la sécurité informatique: ne pas faire confiance à ses utilisateurs.
4) Valider et verrouiller les données dès que possible. En comptabilité par exemple. il n'est pas possibles de modifier une pièce comptable, il faut faire une pièce rectificative devant être validée par un ou des tiers. Tout ce qui a été introduit est verrouillé. Une fois les conseils des profs fini, il est inconcevable que les notes soient encore modifiables.
Tout cela n'empêche pas qu'il y ait des failles et des possibilités de détourner le système. Mais ça limite sérieusement les risques et la portée des éventuels piratages. L'argument «aucun logiciel n'est sans faille» est trop souvent utilisé abusivement pour justifier qu'aucun système de sécurité un peu sérieux ne soit adopté, comme c'est le cas pour ces ENT, où l'on voit souvent des horreurs en matière de sécurité: données stockées sur le web, système à installer par un amateur sur un serveur mutualisé, etc.
S'il y a eu une faute humaine, c'est bel et bien les gouffres abyssaux en matière de sécurité du logiciel qui sont les premiers coupables.

p.s. : J'ai oublié les systèmes de notification: Toute modification sur un note d'un élève pourrait être notifiée à qui de droit, automatiquement par exemple. Les manières de limiter la casse et d'éviter la plupart des problèmes sont légion. C'est juste dommage d'avoir oublié d'en mettre en place un seul.

Kustolovic écrit: 2) Limiter la portée des droits des utilisateurs. [...] Un responsable d'établissement lui ne peut modifier aucune note,

Rhoo, ils ne vont pas être contents, les chefs d'établissement.

Kustolovic écrit: Une fois les conseils des profs fini, il est inconcevable que les notes soient encore modifiables.

Vraiment, vraiment pas contents.
(multiples exemples disponibles sur le site neoprofs. Exemple : www.neoprofs.org/t97030p600-j-hallucine-boulot )
Allez, le blockchain va nous sauver de tout cela (et du reste).

Kustolovic écrit:

LeCancre écrit: Dans le cas présent, l'élève ne s'est en effet pas attaqué au logiciel mais a obtenu le login/mot de passe d'une personne pouvant utiliser le logiciel. C'est plus simple, plus efficace... et aucun logiciel ne résiste à ça: ils ne sont pas conçus pour.

Et pourtant si. Je travaille dans une boîte qui met en place des systèmes intégrés pour entreprise. Bien que les numéristes scolaires aiment bien citer la numérisation des entreprises en exemples, il est dommage qu'ils aient oublié les normes de sécurité allant avec et le coût faramineux que cela représente.

Merci! Je me sentais un peu seul...
Je n'ai pas voulu pousser le bouchon trop loin. J'ai supposé que les utilisateurs de ce site avaient une compréhension globale digne de ma chère Tata (prof de français), autrement dit: faible, faute de temps et d'envie.
Je pense que le facteur humain est la faille n°1. Mais que nous, créateurs de logiciels, pouvons y remédier en obligeant l'utilisateur à avoir de bonnes pratiques.
Le problème est toutefois un mélange de psychologie et d'informatique. Inciter les gens sans les rebuter. J'ai failli prendre comme exemple celui de la carte bleue: si vous possédez le mot de passe et la carte, vous pouvez faire (presque) tout ce que vous voulez.
Dans le cas de cet élève, je flaire que :
- soit la boite est une boite de branquignoles et ils autorisaient le chef d'établissement à tout faire.
- soit il a récupéré un login/mdp de dépanneur.
Deuxième hypothèse, la boite a mal déterminé quels étaient les risques. Par exemple qu'un lycéen oublie que son avenir est lié à ses notes(1). Boulette!
Hypothèse bis: les proviseurs auraient du se contenter d'un "logiciel sous excel", ils auraient été conscients des risques et ça leur aurait coûté moins cher.
Respects aux commerciaux de ENT: ils ont su vendre du rêve à des idiots.
(1) de mon temps: notes de 1ère terminale= entrée en prépa... ou non! Métier garanti ou non...

LeCancre écrit: Dans le cas de cet élève, je flaire que :
- soit la boite est une boite de branquignoles et ils autorisaient le chef d'établissement à tout faire.
- soit etc.

Mais le chef d'établissement a besoin de tout faite !
Sinon, comment ferait-il pour faire remonter au rectorat des chiffres qui prouvent les progrès de ses élèves ?
Soyons réaliste, Le risque n'est pas que les notes soient bidonnées, le risque, c'est qu'elles soient bidonnées par un élève sans accréditation et qui se fait prendre.

Un nouveau cas d'ingénierie numérique de la fraude : "Une fraude digne de « Mission impossible » au concours de médecine thaïlandais" dans "Le Monde" du 10/05/16.

Dans "Cnet" du 16/06/16 : "Bac: comment changer ses notes ou pirater son école grâce au Darknet"

Quelque chose est masqué pour les invités. Veuillez vous connecter ou vous enregistrer pour le visualiser.