Failles de sécurité chez Mobile Guardian : le cri d’alarme d’un étudiant

Accueil - Innovations et Sociétés - Éducation du Futur - Failles de sécurité chez Mobile Guardian : le cri d’alarme d’un étudiant
Failles de sécurité chez Mobile Guardian le cri dalarme dun étudiant Innovationsfr
août 10, 2024

Failles de sécurité chez Mobile Guardian : le cri d’alarme d’un étudiant

Imaginez : vous êtes étudiant, féru d'informatique, et vous repérez une faille béante dans le système de gestion des appareils mobiles utilisé par votre école et des milliers d'autres à travers le monde. Vous décidez, en bon citoyen, de remonter l'information... mais quelques semaines plus tard, une cyberattaque d'envergure paralyse la plateforme. Le cauchemar de tout découvreur de vulnérabilités, et pourtant c'est exactement ce qu'a vécu un étudiant singapourien avec Mobile Guardian, célèbre solution de Mobile Device Management pour les établissements scolaires.

Mobile Guardian : une faille critique révélée par un étudiant

Tout commence fin mai, quand notre "white hat" en herbe décide de mettre son nez dans le fonctionnement de la plateforme Mobile Guardian, utilisée par son école. Et là, stupeur : il découvre qu'il est possible pour n'importe quel utilisateur enregistré d'obtenir des privilèges d'administrateur et de réaliser des actions normalement réservées au personnel, comme réinitialiser les appareils des élèves !

Notre lanceur d'alerte en devenir décide alors de contacter le Ministère de l'Éducation de Singapour, important client de Mobile Guardian, pour leur faire part de sa découverte. Las, trois semaines plus tard, on lui répond que la vulnérabilité "n'est plus un problème", sans plus de détails, la nature exacte du correctif restant flou.

Une cyberattaque dévastatrice frappe Mobile Guardian début août

Et le 4 août, c'est la douche froide : Mobile Guardian annonce avoir été victime d'une cyberattaque ayant conduit à l'effacement à distance de milliers d'appareils d'élèves. Un black-out total pour des dizaines d'écoles à travers le monde...

Les serveurs auraient dû vérifier l'intégrité des requêtes et ne pas faire confiance aveuglément aux informations envoyées par les navigateurs des utilisateurs.

– L'étudiant ayant découvert la faille de sécurité

Interrogé par nos confrères de TechCrunch, notre étudiant hackeur donne des détails techniques sur la faille, une vulnérabilité d'élévation de privilèges côté client permettant de tromper les serveurs en modifiant les requêtes.

Le ministère de l'Éducation de Singapour affirme que la faille avait été corrigée

Contacté, le ministère de l'Éducation de Singapour affirme que la vulnérabilité avait déjà été identifiée et corrigée avant sa divulgation par l'étudiant fin mai. Des tests d'intrusion réalisés en juin n'auraient pas permis de la reproduire.

Pourtant, pour l'étudiant à l'origine de la découverte, le doute plane. Si cette faille, à la portée de n'importe quel "script kiddie", a pu passer entre les mailles du filet, combien d'autres vulnérabilités critiques dorment encore dans les entrailles de Mobile Guardian ? Le jeune homme craint que l'attaque du 4 août, peut-être sans lien direct, ait exploité une autre brèche similaire...

Des questions en suspens sur la sécurité du Mobile Device Management

Quoi qu'il en soit, cette affaire jette une lumière crue sur les risques de sécurité liés aux solutions de gestion des appareils mobiles dans l'éducation. Avec des dizaines de milliers d'utilisateurs souvent peu sensibilisés aux bonnes pratiques, ces plateformes constituent des cibles de choix pour les cyberattaquants.

Alors, à l'heure où le numérique s'impose dans les salles de classe, cette mésaventure de Mobile Guardian doit servir de piqûre de rappel. Pour les éditeurs de solutions, la chasse aux vulnérabilités doit être une priorité de tous les instants. Et face à une faille remontée par un utilisateur, même très jeune, la réaction se doit d'être rapide et transparente.

Espérons que cet incident poussera tous les acteurs, écoles, ministères et fournisseurs, à renforcer leurs exigences en matière de cybersécurité. Car face aux hackers, tous les élèves, enseignants et personnels sont en première ligne... Même armés de simples smartphones ou tablettes.

Partager:

Ajouter Un Commentaire

Chercher

Beauty and lifestyle influencer

Follow my journey on all Social Media channels

Alienum phaedrum torquatos nec eu, vis detraxit periculis ex, nihilmei. Mei an pericula euripidis, hinc partem ei est.
facebook
5M+
Facebook followers
Follow Me
youtube
4.6M+
Youtube Subscribers
Subscribe Me
tiktok
7M+
Tiktok Followers
Follow Me
instagram
3.4M+
Instagram Followers
Follow Me