{"id":11900,"date":"2019-06-26T14:15:23","date_gmt":"2019-06-26T14:15:23","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=11900"},"modified":"2019-11-22T08:49:14","modified_gmt":"2019-11-22T08:49:14","slug":"school-hacking","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/school-hacking\/11900\/","title":{"rendered":"Vuln\u00e9rabilit\u00e9s : comment pirater des relev\u00e9s de notes ?"},"content":{"rendered":"

Les examens scolaires ne se d\u00e9roulent pas comme pr\u00e9vu ? Cela peut arriver \u00e0 tout le monde. La plupart des personnes concern\u00e9es se rel\u00e8veront d\u2019elles-m\u00eames, repasseront leurs partiels ou se fixeront de nouveaux objectifs. Mais dans certains cas les \u00e9l\u00e8ves peuvent \u00eatre tent\u00e9s de tricher sur le chemin de la r\u00e9ussite.<\/p>\n

Au fil des ann\u00e9es, une industrie clandestine s\u2019est d\u00e9velopp\u00e9e autour de cette tentation, avec des forums de discussion et des vid\u00e9os pratiques expliquant comment pirater les syst\u00e8mes des institutions ou encore comment obtenir de faux certificats et dipl\u00f4mes en vente sur le march\u00e9 noir. Nous avons d\u00e9cid\u00e9 d\u00b4enqu\u00eater sur ce sujet et de voir ce que les \u00e9coles et les universit\u00e9s peuvent faire pour se prot\u00e9ger des cybercriminels<\/strong><\/span> et prot\u00e9ger leurs \u00e9l\u00e8ves.<\/p>\n

L\u2019acc\u00e8s aux notes<\/h2>\n

De nombreuses \u00e9coles ont mis en place des plateformes d\u2019information sur le Web pour les activit\u00e9s scolaires, les devoirs, les \u00e9valuations, les communications avec les parents et les enseignants, et plus encore. Certaines d\u2019entre elles sont ouvertes sur Internet, et un grand nombre de ces plateformes, y compris certaines des plus utilis\u00e9es, ont r\u00e9v\u00e9l\u00e9 certaines vuln\u00e9rabilit\u00e9s que les cybercriminels peuvent exploiter.<\/p>\n

PowerSchool est une des plateformes d\u2019information les plus populaires. Celle-ci est connue pour avoir abrit\u00e9 une vuln\u00e9rabilit\u00e9 (CVE-2007-1044<\/a>) qui aurait permis aux cybercriminels de lister le contenu du dossier administrateur via une URL sp\u00e9cialement con\u00e7ue. L\u2019impact de cette vuln\u00e9rabilit\u00e9<\/a><\/strong><\/span> d\u00e9pend des param\u00e8tres du serveur Web et du contenu du dossier.<\/p>\n

Cependant, les vuln\u00e9rabilit\u00e9s<\/strong><\/span> et les exploits similaires ne permettent pas au cybercriminel de contourner l\u2019authentification, ou de faire augmenter les privil\u00e8ges pour avoir acc\u00e8s au type d\u2019information que les pirates informatiques pourraient rechercher. Il existe une m\u00e9thode plus simple pour y arriver : utiliser les identifiants du compte.<\/p>\n

La plateforme de PowerSchool, tout comme de nombreuses autres plateformes, n\u2019est prot\u00e9g\u00e9e que par des noms d\u2019utilisateur et des mots de passe.<\/p>\n

\"\"

Pages de connexion au syst\u00e8me en ligne PowerSchool<\/p><\/div>\n

\u00a0<\/p>\n

En mars<\/a> 2019, des \u00e9tudiants auraient pirat\u00e9 PowerSchool dans le but de changer leurs notes et d\u2019am\u00e9liorer leur assiduit\u00e9. Par ailleurs, comme les utilisateurs r\u00e9utilisent les m\u00eames identifiants sur plusieurs sites, il est fort probable que ces portails soient pirat\u00e9s gr\u00e2ce aux donn\u00e9es de compte vol\u00e9es ou r\u00e9utilis\u00e9es. Plusieurs techniques peuvent \u00eatre utilis\u00e9es pour obtenir ces informations, qu\u2019il s\u2019agisse d\u2019un simple post-it sur le clavier d\u2019un enseignant, d\u2019un piratage<\/a>, ou de la r\u00e9cup\u00e9ration des identifiants<\/a> du r\u00e9seau de l\u2019\u00e9cole ou de l\u2019universit\u00e9. D\u2019autre part, les \u00e9tudiants peuvent aussi engager un hacker clandestin pour qu\u2019il s\u2019occupe du piratage.<\/p>\n

Services de piratage informatique et faux dipl\u00f4mes sur le march\u00e9 noir<\/h3>\n

Lors d\u2019une recherche en ligne effectu\u00e9e le 12 juin, nous avons facilement trouv\u00e9 une offre proposant des services de piratage informatique ainsi que de faux certificats, dipl\u00f4mes et licences de la mati\u00e8re et de l\u2019\u00e9cole de votre choix qui ressemblaient \u00e9norm\u00e9ment aux originaux. Les instructions \u00e0 suivre sont claires et simples puisque vous n\u2019avez qu\u2019\u00e0 remplir un bon de commande et laissez vos coordonn\u00e9es.<\/p>\n

\"\"

March\u00e9 noir sur Internet qui vend des certificats et des dipl\u00f4mes de diff\u00e9rentes institutions.<\/p><\/div>\n

\u00a0<\/p>\n

Am\u00e9liorer la s\u00e9curit\u00e9 du syst\u00e8me \u00e9ducatif<\/h3>\n

Que peuvent faires les \u00e9coles, les lyc\u00e9es, les universit\u00e9s et les employeurs pour s\u2019assurer que les r\u00e9sultats acad\u00e9miques qu\u2019ils ont entre leurs mains soient authentiques\u00a0?<\/p>\n

Lorsqu\u2019il s\u2019agit de certificats et de dipl\u00f4mes, les entreprises devraient v\u00e9rifier leur authenticit\u00e9 aupr\u00e8s de l\u2019institution qui les a \u00e9mis. Si l\u2019\u00e9tudiant n\u2019appara\u00eet pas dans le syst\u00e8me de l\u2019institution alors il est fort probable qu\u2019il s\u2019agisse d\u2019un faux.<\/p>\n

Dans le cas des syst\u00e8mes d\u2019information qui se trouvent sur Internet, vous pouvez suivre certaines mesures de s\u00e9curit\u00e9 en ligne<\/strong><\/span> qui permettent grandement de prot\u00e9ger les employ\u00e9s, les \u00e9tudiants et toutes les donn\u00e9es\u00a0:<\/p>\n