Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser la page de contact pour nous contacter ou nous faire part de vos suggestions. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

Comment une faille sur un site scolaire français pourrait se propager à des dizaines d'établissements

Un hacker a prévenu Numerama d'une faille sur le site d'un établissement scolaire privé. Son exploitation immédiate permettrait de dégrader (ou « défacer») le site pour afficher un message de propagande. Mais la faille représenterait aussi une porte d'entrée vers d'autres sites scolaires privés, hébergés sur le même serveur. 

Mise à jour du 21 octobre à 18h : 

Moins de 2 heures après la publication de notre article, le 20 octobre, le Cert (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques), qui dépend de l'Anssi, nous a contacté. Il souhaitait obtenir des informations supplémentaires sur la vulnérabilité. « Dans le cadre de ses missions, l'Anssi effectue une veille en source ouverte en matière de vulnérabilités pouvant affecter des entités publiques. Le signalement de la vulnérabilité dépend de la gravité et de la nature de la victime », nous a-t-il précisé, avant d'ajouter « notre engagement peut aller d'une simple prise en compte de l'information, au signalement de celle-ci à l'entité victime, à la transmission de préconisations, jusqu'à une projection d'équipes sur site dans les cas les plus critiques. » L'agence n'a pas voulu détailler son intervention sur ce cas précis.

Ensuite, le 21 octobre, le RSSI (responsable sécurité des systèmes d'information) de l'Académie de Rennes nous a contacté. Il a été averti de la faille par le ministère. Bien qu'il soit référent pour 1460 écoles, 210 collèges et 100 lycées publics, il n'a pas la main sur les système de l'établissement concerné. En revanche, il a contacté la directrice de l'établissement privé, et va les accompagner, avec leur prestataire, dans la résolution de l'incident. « Le territoire de Bretagne a une forte représentation d’établissements privés sous contrat. S'ils ne sont pas sous ma responsabilité directe, ils doivent cependant assurer la protection des élèves et enseignants au regard du contrat établi avec l’Éducation nationale. Nous leur signalons systématiquement les incidents, et nous leur demandons d'y remédier », précise-t-il. La faille devrait être résolue dans les jours à venir.

Article initial, publié le 20 octobre à 10h35 : 

Le samedi 17 octobre, Cyberguerre a été prévenu par un lanceur d'alerte d'une faille majeure sur le site d'un établissement scolaire privé à l'apparence moderne. Le hacker l'a repérée un peu par hasard, grâce à un script qu'il a lui-même développé, dont il se sert notamment pour repérer des failles. Comme cette situation illustre un problème plus général, et que la faille n'a pas encore été réparée, nous avons choisi de ne pas nommer l'établissement concerné.

En quelques minutes, notre source a obtenu un accès à l'interface de configuration du site, qui permet à n'importe quel intrus de créer un nouveau site par-dessus celui de l'établissement. Dans le « meilleur » des cas , le hacker pourrait placer un message de propagande en lieu et place des brochures de l'établissement et des liens vers ses ressources numériques. Cette action à valeur symbolique, connue sous le nom anglais de  « defacing » -- traduit par « défiguration » ou « défaçage » -- ne cause pas forcément de dégâts matériels ou financiers.

Mais dans le « pire » des cas, le pirate pourrait se servir de la vulnérabilité pour remonter au serveur, qui héberge d'autres sites du même réseau scolaire, et corrompre tout un ensemble de plusieurs dizaines, voire centaines de sites. Il pourrait, par exemple, s'en servir pour déployer un rançongiciel et paralyser le fonctionnement des établissements. Et il ne s'arrêterait pas là : dans la manipulation, les données personnelles des élèves et du personnel éducatif seraient également compromises. Le tout, à cause de la mauvaise configuration, en apparence inoffensive, d'un seul site scolaire.

« On peut voir le serveur qui héberge le site comme une grande armoire : la vulnérabilité permet d'accéder à un des tiroirs, et à partir de là, on peut scier des trous pour accéder aux autres étages », image notre source.

Ayant découvert la faille le vendredi après-midi, il n'a pas réussi à obtenir un interlocuteur le jour même ou pendant le week-end, malgré une dizaine de tentatives de contacts, notamment avec la personne en charge de l'établissement. « Il n'y a pas, dans les villes et les métropoles, de relai pour prendre rapidement en charge ce genre d'incident », regrette-t-il.

« Ce n'est pas notre problème »

Avoir une faille, même grossière, est malheureusement courant, même chez les organisations les plus importantes et les plus conscientes des enjeux de cybersécurité comme Microsoft ou les entreprises de bug bountyPlus que sur les vulnérabilités elles-mêmes, les organisations seront donc jugées sur leur capacité à les repérer et les corriger rapidement.

C'est là que l'établissement a de la chance : notre source a découvert la faille avant que des malfaiteurs ne le fassent. Et d'après elle, la vulnérabilité serait relativement facile à réparer, puisqu'elle serait due à une erreur de configuration. Concrètement, la personne en charge aurait oublié de supprimer certains scripts lors de l'installation du site. Un hacker peut ainsi les retrouver et les utiliser pour lancer à nouveau une configuration du site. Ce scénario catastrophe peut cependant être simplement évité, et notre source était prête à assister les équipes en charge de la réparation à titre gratuit.

Lundi 19 octobre, Cyberguerre a donc contacté l'établissement privé sur le numéro de téléphone indiqué sur le site pour les prévenir de la faille. Une secrétaire a pris notre appel puis l'a transmis à la responsable administrative de l'établissement. Attentive à nos explications, elle a considéré ne pas s'y connaître suffisamment sur les questions de sécurité, et a transmis de nouveau l'appel, cette fois vers le « responsable informatique ». Ce dernier, apparemment excédé que nous le contactions, a balayé sans cacher son énervement : « Nous déléguons la gestion du site à une boîte à l’extérieur. Ce n'est pas notre problème, c'est à eux de gérer ça. » Il a également refusé de nous donner un contact, ou même l'identité du prestataire. Un peu plus tard dans la matinée, notre source a obtenu une réponse similaire de sa part. « Il n'a rien voulu savoir. C'est la première fois que ça m'arrive », s'étonne-t-il. Pourtant, si la faille menait à une fuite de données, les deux partis seraient responsables, au regard du règlement général européen sur la protection des données.

La vulnérabilité ne devrait pas être aussi difficile à remonter

Vous l'aurez deviné, la gestion de l'incident par l'établissement est très loin des bonnes pratiques. Les organisations les mieux préparées disposent d'une adresse email dédiée à la remontée de failles, qui sont prises en charge par des équipes formées pour réagir de façon proportionnée à l'ampleur du problème. Ce processus simplifie la tâche pour tout le monde. Du côté des hackers et autres chercheurs qui remontent les failles, cette adresse permet d'entrer en contact avec un interlocuteur qui parle le même langage technique qu'eux, conscient des enjeux cyber, et susceptible d'au moins comprendre la vulnérabilité. C'est un gain de temps intéressant pour les hackers, qui font parfois ces remontées de vulnérabilités à titre gratuit, sur leur temps libre.

Du côté des organisations, avoir une telle adresse offre la possibilité d'identifier des failles qui seraient passées hors des mailles du filet. Certains chercheurs abandonnent la remontée de vulnérabilités lorsqu'ils n'obtiennent aucun retour après avoir contacté l'adresse de contact générique. Trouver les coordonnées des personnes pertinentes à contacter dans l'organisation prend du temps, que les chercheurs n'ont pas toujours. Parfois, la remontée de l'incident se perd avant d'atteindre le bon interlocuteur, ou alors, celui qui est censé l'être ne fait pas son travail.

Pour identifier les vulnérabilités, d'autres entreprises s'inscrivent à des plateformes de bug bounty, comme la Française YesWeHack. Elles définissent le périmètre sur lequel elles acceptent les remontées de vulnérabilité, puis laissent la plateforme faire la modération des rapports envoyés par les chercheurs.

Suite à la publication de cet article, plusieurs lecteurs nous ont indiqué qu'il fallait contacter le rectorat en cas d'incident du genre sur un site dépendant de l'Éducation nationale. Le rectorat serait ensuite capable de transmettre les informations au directeur des systèmes d'information (DSI) de l'académie concernée, compétent pour intervenir. Sauf que dans notre cas, le site de l'établissement privé, bien que sous contrat, ne dépend pas directement du rectorat et de l'hébergement centralisé. Il adopte une architecture différente, qu'il partage avec les établissements de son réseau.

Et puisqu'il n'y a pas d'adresse de contact clairement identifiée pour la remontée d'incident, la chaîne de responsabilité de l'établissement a mené à un cul-de-sac, et la faille n'a pas été réparée.

Reste que le responsable informatique aurait pu au moins vérifier l'existence du problème. Et s'il avait besoin d'une aide extérieure, le site gouvernemental Cybermalveillance permet de diagnostiquer le problème, offre des étapes à suivre, et donne accès à un carnet d'adresses de professionnels compétents.

Heureusement, il est peu probable qu'un hacker malveillant s'intéresse au site de cet établissement en particulier, et tombe sur la faille. Mais notre source s'inquiète de ce qu'il appelle le « cyber-opportunisme » : en faisant certaines recherches avec les bons mots clés sur différents moteurs, des personnes malveillantes pourraient tout de même trouver le site. C'était par cette méthode qu'en 2015, après les attentats de Charlie Hebdo, que des milliers sites français, dont ceux de certaines mairies avaient été « défacés » pour afficher des messages de propagande.

Vous souhaitez partager des informations sur une fuite ou une faille ? Contactez notre journaliste François Manens à [email protected] ou [email protected]. Signal et Wickr Me disponibles sur demande. 

Article modifié le mardi 20 octobre à 17 heures pour ajouter des précisions sur la distinction entre la gestion des sites des établissements publics, et celle des établissements privés.