06 septembre 2008

Slap-happy

J'exerce le doux métier de responsable informatique et technique dans une école d'ingénieurs. Comme mes homologues, j'ai mis en place une sécurité informatique essentiellement basé sur des mots de passe et sur une séparation des réseaux. Les utilisateurs doivent changer régulièrement leurs mots de passe et les choisir suffisamment compliqués. Mais certains étudiants aiment jouer avec le feu et cherchent à pirater le compte d'un professeur... Voici la dernière anecdote en date.

Un professeur décide de faire un examen en deux parties à un mois d'intervalle. Il constate avec surprise que quelques étudiants ont vu leurs résultats quadrupler en passant de 04/20 à 16/20 d'une épreuve à l'autre.

Il décide d'approfondir le problème et soupçonne rapidement une tricherie: ces étudiants semblent avoir eu accès au sujet de la deuxième épreuve. Après avoir étudié toutes les fuites possibles, il subodore un vol de mot de passe et vient me voir.

La plupart des systèmes informatiques sont journalisés et le mien ne fait pas exception. Me voici donc à explorer les fichiers de LOG où sont stockés les connexions des utilisateurs. J'y découvre que le professeur semble s'être connecté au système le soir dans les salles informatiques en libre service.

Par mon expérience d'expert judiciaire en informatique, je connais bien la différence entre personne physique et compte informatique, et le danger du raccourci de langage qui consiste à dire "Untel s'est connecté" au lieu de dire "le compte d'Untel a été utilisé".

Une simple vérification auprès du professeur me permet de comprendre que son compte informatique a été utilisé hors sa présence. Son mot de passe avait donc été volé.

Il y a plusieurs façon de voler un mot de passe: enregistreur de frappe (keylogger), attaque par dictionnaire, mot de passe facile à deviner lors de la saisie (prénom, nom commun...). Ayant à cœur de sécuriser mon système informatique du mieux possible, je mène ma petite enquête pour connaître la méthode utilisée.

En analysant les fichiers de LOG des connexions utilisateurs, je me rends vite compte que parmi les étudiants suspectés de tricherie, deux se sont connectés sur des ordinateurs voisins de celui sur lequel le compte du professeur a été abusivement utilisé.

En étudiant les fichiers de LOG des impressions, je me rends compte qu'un autre étudiant a imprimé un fichier portant le même nom que le fichier contenant le corrigé de l'examen et appartenant au professeur.

En interrogeant le professeur, celui-ci jure qu'il ne stocke pas de données aussi confidentielles sur son compte pédagogique (le compte accessible en salle de cours). Nous vérifions ensemble. Effectivement, aucune trace visible du corrigé sur son compte. Néanmoins, notre système informatique permet une récupération personnelle des données effacées: clic droit, menu "recouvrer les fichiers" (OS Novell Netware). Et hop, voici qu'apparait le fameux corrigé! Le professeur m'indique alors avoir fait transité le fichier par son compte réseau, puis sur sa clef USB, avant de l'effacer. Il ne connaissait pas la fonctionnalité de récupération de données (les étudiants oui, et c'est moi qui le leur enseigne...).

Restait à savoir comment les étudiants avaient obtenus le mot de passe.

Je convoque tout mon petit monde dans mon bureau et prend mon air le plus sévère. Après quelques minutes sur la sellette, les étudiants m'ont expliqué leur façon de faire: lors d'un cours en amphithéâtre, l'un d'entre eux avait son ordinateur portable allumé. Au moment où le professeur s'est connecté sur l'ordinateur de l'amphithéâtre pour son cours, l'étudiant a tourné discrètement la webcam de son portable pour filmer le professeur saisissant son mot de passe.

Une fois en salle informatique, l'étudiant s'est connecté sur le compte du professeur, et ne trouvant rien, a eu l'idée de vérifier les fichiers effacés. CQFD.

Les quatre étudiants ont eu zéro et sont passés en conseil de discipline. Ils n'ont pas été exclus.

Je les aime bien mes étudiants. Ils sont juste un peu parfois irresponsables et insouciants.

Je me méfie maintenant des webcams, des appareils photos, des caméras, des stylos, des lunettes, des montres, des nounours, des miroirs, des ordures, des volants...

10 commentaires:

  1. Pour choper un mot de passe d'un prof, le plus simple est encore de regarder ses doigts quand il le tappe. S'il n'est pas trop complexe, c'est facile à retenir...
    (oui, c'est du vécu, oui, c'est dans une école qui utilisait novell sur le réseau des profs, et non, j'ai rien fait de marrant avec, c'était le mot de passe root en plus)

    RépondreSupprimer
  2. Moralité: le plus difficile n'est jamais de récupérer des données (le mot de passe comme le corrigé) mais juste de les utiliser "intelligement" (ne pas se connecter avec son compte dans la même tranche horaire, et savoir se contenter d'un 12 sont les deux conclusions immédiates), ne pas tricher étant aussi une possibilité acceptable :)

    RépondreSupprimer
  3. Loin de vouloir vous inquiéter davantage, mais j'ai lu dans une revue scientifique très sérieuse que des biologistes avaient réussi à greffer une mini caméra entre les 2 yeux d'une mouche !

    A priori, la miniaturisation des webcams ne permet pas encore d'en installer sur les moustiques. Vous n'avez rien à craindre d'eux.

    RépondreSupprimer
  4. L'étudiant avec sa Webcam a-t'il eu droit à un sermon doublé d'une bonne note (initiative et connaissance du système) ou bien tout ceci n'aura servi à rien ??? ;-)

    RépondreSupprimer
  5. http://sid.rstack.org/blog/index.php/294-un-defi-de-recuperation-de-donnees-a-relever-ou-pas


    Vous en pensez quoi ?

    RépondreSupprimer
  6. @iti: Personnellement, je trouve qu'un élève-ingénieur qui vole un mot de passe, l'utilise et se connecte sur l'ordinateur d'à côté avec son propre compte est un imbécile qui ne devrait pas être diplômé.

    @alexandre: Je suis un fan du blog de Sid et le billet que vous indiquez est particulièrement réussi. J'adhère à 100%.

    RépondreSupprimer
  7. @zythom: je n'ai pas dit qu'il ne fallait pas le sanctionner....
    J'aurais effectivement marqué le coup avec un blâme ou une sanction équivalente (pour avoir effectué ladite fraude) mais j'aurais noté en parallèle un bon point pour la recherche sur l'exploitation du rollback Novell et pour le risque pris à enregistrer le mot de passe du prof en douce.
    Certes, ce n'est pas une manière de faire pour un élève ingé, mais il y avait de l'idée..... :)

    RépondreSupprimer
  8. Une rumeur prétend que les services de contrôle et de sécurité informatique utilisent souvent les compétences des hackers et autres pirates informatiques démasqués pour justement combattre les fraudes dans ce domaine. A mon avis, vous devriez proposer une sanction similaire pour ces élèves ingénieurs : une sorte de TUC ou TIC (travail d'utilité/intérêt collectif) basé sur la sécurité et la surveillance informatique.
    Une sanction avec un côté pédagogique c'est toujours plus constructif, surtout que j'imagine qu'après "avoir pris votre air le plus sévère" pour les faire avouer vous avez poursuivi par "...qu'est-ce que vous croyez bande de petits ..., j'ai été étudiant avant vous, tout ce que vous avez fait, je l'ai déjà fait ...".

    Au fait, un petit billet sur les "grandes affaires" de piratages informatiques spectaculaires ou originales ce serait drôlement intéressant...

    Entre l'histoire du listing piraté de Clearstream et celle du programmeur informatique d'une banque qui se faisait virer les centièmes de centimes résiduels sur un compte privé, vous devez en avoir d'autres surprenantes à nous raconter ?

    RépondreSupprimer
  9. ...petite rectification :
    dans mon précédent commentaire, j'ai écrit "hacker", et c'est "cracker" que j'aurais du écrire !

    http://www.nicolas-informatique.fr/hack/dif.htm

    RépondreSupprimer
  10. Je suis surpris de ce mélange d'adresse et d'inconscience.

    Adresse, parce que le coup de la Webcam etc. à faire correctement, ça semble délicat.

    Inconscience, parce que, comme vous le faites remarquer, ce n'était pas malin de se logguer à côté de l'ordinateur incorrectement utilisé. (Autre question: les salles informatiques sont-elles dotées de lecteurs de badges d'accès?)

    Inconscience aussi, parce que les conséquences auraient pu être graves. Il me semble que s'introduire dans un système automatique (par exemple le compte du professeur) sans y être autorisé est un délit (loi Godfrain).

    (Pour info, il m'est arrivé d'échanger des énoncés d'examen via GPG...)

    RépondreSupprimer

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.