La sécurité des données est devenue la préoccupation majeure des entreprises ces dernières années, surtout en raison des nombreux cas de cyberattaques récemment enregistrées. On constate ainsi que de plus en plus d’institutions et d’entreprises investissent de grosses sommes d’argent pour se doter d’outils permettant d’assurer la sécurité de leurs systèmes et par conséquent des données qu’ils contiennent. Mais on remarque également que pour certains établissements scolaires, le système de cybersécurité peut parfois laisser à désirer, ce qui permet à des personnes dotées de connaissances en informatique, d’y accéder sans trop de difficultés.
Bill Demirkapi fait partie des personnes ayant réussi à accomplir ce genre de prouesse. Demirkapi a parlé de ses prouesses lors de la conférence DEF CON de cette année à Vegas et parmi les nombreux exploits de ce genre qu’il dit avoir accompli, il a parlé d’une vulnérabilité découverte dans le logiciel qu’utilisait son école. Âgé de 16 ans au moment où il a réussi cet exploit, il était élève en première année de lycée à Lexington, dans le Massachusetts. En exploitant cette vulnérabilité, il a pu être en mesure d’accéder aux données personnelles des élèves comme les relevés de notes, les emplois de temps, les villes natales et bien plus encore.
Le logiciel appartenait à deux des plus grands noms de la technologie de l’éducation : Blackboard et Follett Corporation. Ensemble, ces entreprises offrent des produits d’éducation en ligne à plus de la moitié des écoles américaines. Demirkapi fait savoir que ses intentions n’étaient pas du tout malveillantes et donc qu’il n’avait aucune intention d’abuser des failles découvertes, mais qu’au contraire, il souhaitait informer Follett Corporation, la société qui fabrique ce logiciel, afin qu’elle puisse résoudre le problème et rendre les données personnelles des étudiants plus sûres. Malheureusement pour lui, la société n’a jamais daigné donné suite à ses multiples tentatives pour la joindre et donc pour se faire entendre, il a décidé de s’y prendre autrement.
Il a utilisé une fonctionnalité du logiciel pour envoyer un message non seulement à l’entreprise Follet, mais également aux parents d’élèves, aux administrateurs de district, et aux enseignants, ce qui représente probablement des milliers de personnes. Après cela il était impossible de continuer à l’ignorer et il a écopé d’une suspension de l’école pour ça. Voici ce que contenait son message : « Bonjour, Bill Demirkapi 123 était ici. Follett Corporation n’a aucune sécurité. Voici vos cookies, ne vous inquiétez pas je ne les ai pas volés ».
Le message a été supprimé après quelques heures et peu de temps après, la vulnérabilité a été corrigée. La méthode employée par Demirkapi pour se faire entendre peut-être critiquée, mais ce problème a permis de se rendre compte de comment il peut être difficile d’informer de manière responsable ces entreprises, des vulnérabilités découvertes dans leurs logiciels. George Gatsis, vice-président directeur de la technologie chez Follett, a remercié Demirkapi d’avoir aidé la société à identifier ses bugs et affirme que même avec les failles de sécurité qu’il exploitait, Demirkapi n’aurait jamais pu accéder aux données de Follett autres que les siennes. Demirkapi était naturellement en désaccord et a déclaré qu’il avait montré aux ingénieurs de la société le mot de passe piraté de son ami comme preuve.
Demirkapi fait aussi remarquer que si lui, motivé uniquement par sa propre curiosité, pouvait si facilement accéder à ces bases de données d’entreprise, cela montrait bien que la sécurité dans les logiciels éducatifs est vraiment mauvaise. D’ailleurs, il a aussi découvert une vulnérabilité liée à l’injection SQL dans un logiciel de la société Blackboard. Un pirate qui aurait exploité cette faille aurait pu avoir accès à des données appartenant à 5000 écoles et à environ 5 millions d’élèves et d’enseignants. Ça représente vraiment beaucoup surtout quand on sait que ces données comprennent les adresses électroniques, les numéros de téléphone, les notes, les itinéraires, les dossiers de vaccination et les comptes de réseaux sociaux.
Blackboard a également remercié Demirkapi, mais a fait valoir que, d’après leur analyse, personne n’avait eu accès à ces enregistrements par le biais de la vulnérabilité qu’il avait exposée. Seulement, il devient difficile de croire sur parole ces entreprises en ce qui concerne des cas de violations de données, car le plus souvent, les communiqués officiels ne reflètent pas ce qui s’est réellement passé.
Source : Bill Demirkapi