Vulnérabilités : comment pirater des relevés de notes ?

26 Juin 2019

Les examens scolaires ne se déroulent pas comme prévu ? Cela peut arriver à tout le monde. La plupart des personnes concernées se relèveront d’elles-mêmes, repasseront leurs partiels ou se fixeront de nouveaux objectifs. Mais dans certains cas les élèves peuvent être tentés de tricher sur le chemin de la réussite.

Au fil des années, une industrie clandestine s’est développée autour de cette tentation, avec des forums de discussion et des vidéos pratiques expliquant comment pirater les systèmes des institutions ou encore comment obtenir de faux certificats et diplômes en vente sur le marché noir. Nous avons décidé d´enquêter sur ce sujet et de voir ce que les écoles et les universités peuvent faire pour se protéger des cybercriminels et protéger leurs élèves.

Comment les étudiants se servent des diplômes disponibles sur le dark web et des services de piratage de notes pour tricher et réussir

L’accès aux notes

De nombreuses écoles ont mis en place des plateformes d’information sur le Web pour les activités scolaires, les devoirs, les évaluations, les communications avec les parents et les enseignants, et plus encore. Certaines d’entre elles sont ouvertes sur Internet, et un grand nombre de ces plateformes, y compris certaines des plus utilisées, ont révélé certaines vulnérabilités que les cybercriminels peuvent exploiter.

PowerSchool est une des plateformes d’information les plus populaires. Celle-ci est connue pour avoir abrité une vulnérabilité (CVE-2007-1044) qui aurait permis aux cybercriminels de lister le contenu du dossier administrateur via une URL spécialement conçue. L’impact de cette vulnérabilité dépend des paramètres du serveur Web et du contenu du dossier.

Cependant, les vulnérabilités et les exploits similaires ne permettent pas au cybercriminel de contourner l’authentification, ou de faire augmenter les privilèges pour avoir accès au type d’information que les pirates informatiques pourraient rechercher. Il existe une méthode plus simple pour y arriver : utiliser les identifiants du compte.

La plateforme de PowerSchool, tout comme de nombreuses autres plateformes, n’est protégée que par des noms d’utilisateur et des mots de passe.

Pages de connexion au système en ligne PowerSchool

 

En mars 2019, des étudiants auraient piraté PowerSchool dans le but de changer leurs notes et d’améliorer leur assiduité. Par ailleurs, comme les utilisateurs réutilisent les mêmes identifiants sur plusieurs sites, il est fort probable que ces portails soient piratés grâce aux données de compte volées ou réutilisées. Plusieurs techniques peuvent être utilisées pour obtenir ces informations, qu’il s’agisse d’un simple post-it sur le clavier d’un enseignant, d’un piratage, ou de la récupération des identifiants du réseau de l’école ou de l’université. D’autre part, les étudiants peuvent aussi engager un hacker clandestin pour qu’il s’occupe du piratage.

Services de piratage informatique et faux diplômes sur le marché noir

Lors d’une recherche en ligne effectuée le 12 juin, nous avons facilement trouvé une offre proposant des services de piratage informatique ainsi que de faux certificats, diplômes et licences de la matière et de l’école de votre choix qui ressemblaient énormément aux originaux. Les instructions à suivre sont claires et simples puisque vous n’avez qu’à remplir un bon de commande et laissez vos coordonnées.

Marché noir sur Internet qui vend des certificats et des diplômes de différentes institutions.

 

Améliorer la sécurité du système éducatif

Que peuvent faires les écoles, les lycées, les universités et les employeurs pour s’assurer que les résultats académiques qu’ils ont entre leurs mains soient authentiques ?

Lorsqu’il s’agit de certificats et de diplômes, les entreprises devraient vérifier leur authenticité auprès de l’institution qui les a émis. Si l’étudiant n’apparaît pas dans le système de l’institution alors il est fort probable qu’il s’agisse d’un faux.

Dans le cas des systèmes d’information qui se trouvent sur Internet, vous pouvez suivre certaines mesures de sécurité en ligne qui permettent grandement de protéger les employés, les étudiants et toutes les données :

  • Utilisez l’authentification à deux facteurs dans la mesure du possible, surtout lorsqu’il s’agit d’accéder aux dossiers, notes et évaluations des étudiants. Mettez en place des contrôles d’accès qui soient forts et appropriés pour que les pirates informatiques ne puissent pas facilement naviguer dans le système.
  • Sur le campus, ayez deux réseaux sans fil indépendants et sécurisés : un pour vos employés et un autre pour vos étudiants. Vous pouvez aussi avoir un troisième réseau isolé pour les visiteurs.
  • Configurez et renforcez vos politiques du personnel en matière de mots de passe et encouragez-les à ne jamais révéler leurs identifiants d’accès.
  • Utilisez une solution de sécurité fiable pour vous protéger d’un grand nombre de menaces et d’attaques informatiques.