Failles de sécurité chez Mobile Guardian : le cri d’alarme d’un étudiant
Imaginez : vous êtes étudiant, féru d'informatique, et vous repérez une faille béante dans le système de gestion des appareils mobiles utilisé par votre école et des milliers d'autres à travers le monde. Vous décidez, en bon citoyen, de remonter l'information... mais quelques semaines plus tard, une cyberattaque d'envergure paralyse la plateforme. Le cauchemar de tout découvreur de vulnérabilités, et pourtant c'est exactement ce qu'a vécu un étudiant singapourien avec Mobile Guardian, célèbre solution de Mobile Device Management pour les établissements scolaires.
Mobile Guardian : une faille critique révélée par un étudiant
Tout commence fin mai, quand notre "white hat" en herbe décide de mettre son nez dans le fonctionnement de la plateforme Mobile Guardian, utilisée par son école. Et là, stupeur : il découvre qu'il est possible pour n'importe quel utilisateur enregistré d'obtenir des privilèges d'administrateur et de réaliser des actions normalement réservées au personnel, comme réinitialiser les appareils des élèves !
Notre lanceur d'alerte en devenir décide alors de contacter le Ministère de l'Éducation de Singapour, important client de Mobile Guardian, pour leur faire part de sa découverte. Las, trois semaines plus tard, on lui répond que la vulnérabilité "n'est plus un problème", sans plus de détails, la nature exacte du correctif restant flou.
Une cyberattaque dévastatrice frappe Mobile Guardian début août
Et le 4 août, c'est la douche froide : Mobile Guardian annonce avoir été victime d'une cyberattaque ayant conduit à l'effacement à distance de milliers d'appareils d'élèves. Un black-out total pour des dizaines d'écoles à travers le monde...
Les serveurs auraient dû vérifier l'intégrité des requêtes et ne pas faire confiance aveuglément aux informations envoyées par les navigateurs des utilisateurs.
– L'étudiant ayant découvert la faille de sécurité
Interrogé par nos confrères de TechCrunch, notre étudiant hackeur donne des détails techniques sur la faille, une vulnérabilité d'élévation de privilèges côté client permettant de tromper les serveurs en modifiant les requêtes.
Le ministère de l'Éducation de Singapour affirme que la faille avait été corrigée
Contacté, le ministère de l'Éducation de Singapour affirme que la vulnérabilité avait déjà été identifiée et corrigée avant sa divulgation par l'étudiant fin mai. Des tests d'intrusion réalisés en juin n'auraient pas permis de la reproduire.
Pourtant, pour l'étudiant à l'origine de la découverte, le doute plane. Si cette faille, à la portée de n'importe quel "script kiddie", a pu passer entre les mailles du filet, combien d'autres vulnérabilités critiques dorment encore dans les entrailles de Mobile Guardian ? Le jeune homme craint que l'attaque du 4 août, peut-être sans lien direct, ait exploité une autre brèche similaire...
Des questions en suspens sur la sécurité du Mobile Device Management
Quoi qu'il en soit, cette affaire jette une lumière crue sur les risques de sécurité liés aux solutions de gestion des appareils mobiles dans l'éducation. Avec des dizaines de milliers d'utilisateurs souvent peu sensibilisés aux bonnes pratiques, ces plateformes constituent des cibles de choix pour les cyberattaquants.
Alors, à l'heure où le numérique s'impose dans les salles de classe, cette mésaventure de Mobile Guardian doit servir de piqûre de rappel. Pour les éditeurs de solutions, la chasse aux vulnérabilités doit être une priorité de tous les instants. Et face à une faille remontée par un utilisateur, même très jeune, la réaction se doit d'être rapide et transparente.
Espérons que cet incident poussera tous les acteurs, écoles, ministères et fournisseurs, à renforcer leurs exigences en matière de cybersécurité. Car face aux hackers, tous les élèves, enseignants et personnels sont en première ligne... Même armés de simples smartphones ou tablettes.