Sécurité

Un collège canadien expulse un étudiant pour enquête de sécurité White Hat

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Arrêtez-moi si vous avez déjà entendu cela : un passionné de technologie devient un peu trop zélé pour vérifier les failles de sécurité, trouve une vulnérabilité importante, présente les informations, et des menaces légales et personnelles sont alors proférées.

Ce scénario s’est reproduit une fois de plus, et cette fois-ci, il s’agit d’un étudiant nommé Ahmed Al-Khabaz et du Collège Dawson à Montréal. Après avoir trouvé une faille de sécurité dans le logiciel de gestion des étudiants que son université utilisait, Al-Khabaz a signalé le problème. Au début, le collège et la société de logiciels étaient agréables, mais après qu’Al-Khabaz ait vérifié si l’exploit avait été corrigé, des menaces légales ont été proférées. Il a signé une NDA et il a été rapidement expulsé de l’université.

Dans un exposé du National Post, Al-Khabaz donne sa version de l’histoire. Il a utilisé un outil de sécurité appelé Acunetix qui teste les vulnérabilités de script intersite et d’injection SQL. Omnivox de SkyTech, un logiciel de gestion académique, est utilisé dans plus d’une centaine d’universités, de sorte que les informations personnelles de millions de personnes potentielles étaient en danger lorsque cette vulnérabilité était active.

Le Collège Dawson a répondu par une publication sur sa page Facebook dans lequel la décision d’expulser Al-Khabaz a été justifiée. Bien que le collège soutienne fermement sa décision d’expulser le jeune de 20 ans, le message cite les lois sur la confidentialité des étudiants comme raison pour laquelle il ne discutera pas de la question en détail. Plus précisément, le message indique que « les raisons du National Post expliquant pourquoi l’étudiant a été expulsé ne sont pas exactes ». Après la presse négative, il semble que le site Web du collège fasse l’objet d’un trafic et d’un examen approfondis. Dès la parution, son site est inaccessible — ne montrant qu’un 403 : Interdit Erreur.

Psssssst :  Une faille dans le logiciel Dell rend les ordinateurs vulnérables aux piratages - High-teK.ca

Sur la base du peu d’informations publiques, il semble qu’Al-Khabaz ait pris trop de liberté pour explorer le système à la recherche d’exploits. D’autre part, l’université et la société de logiciels ont toutes deux réagi de manière excessive. Même si quelqu’un a les meilleures intentions du monde, les systèmes juridiques du monde entier sont largement en retard sur les innovations technologiques. Jusqu’à ce qu’il y ait une refonte en profondeur de la législation sur la sécurité informatique dans le monde occidental, tout examen d’un tiers sans autorisation préalable pourrait entraîner de graves problèmes juridiques. Jusque-là, nous devons espérer que les organisations prendront des informations auprès des pirates informatiques avec un peu de décorum, résoudront le problème et ne porteront pas plainte. Après tout, si le chapeau blanc peut trouver la faille de sécurité, vous pouvez parier qu’un expert en sécurité moins scrupuleux peut également la trouver.

[Image credit: Adikos]

Bouton retour en haut de la page