Developpez.com

Le Club des Développeurs et IT Pro

Un étudiant renvoyé pour avoir utilisé un keylogger pour pirater le système de son école et changer ses notes

Les professeurs s'inquiètent

Le 2017-10-22 15:10:14, par Stéphane le calme, Chroniqueur Actualités
Des responsables de l'Université du Kansas (KU) ont pris la décision de renvoyer un étudiant pour avoir installé un périphérique qui a servi de keylogger matériel et a été utilisé pour pirater le système de notation de l'école et changer ses notes.

Si l’université s’est refusée à divulguer le nom de son ancien étudiant au public, elle a affirmé que le dispositif d'enregistrement de frappe avait été installé sur l'un des ordinateurs dans ses salles de conférence.

L'élève a utilisé les données recueillies sur l'appareil pour changer ses notes, les faisant passer de F à A. Les professeurs ont assuré que l'incident n'aurait pas été remarqué si l'étudiant n'avait pas effectué des modifications aussi flagrantes.

Pour rappel, aux États-Unis, le système de notation par les lettres est varie de A à F, A étant la meilleure note, F la plus mauvaise. Pour augmenter les précisions, il est courant de voir ces lettres accompagnées des signes + et - (comme B+ ou C-).

Le périphérique utilisé par l'étudiant était un keylogger matériel courant que n'importe qui peut acheter sur Amazon ou eBay à partir de 20 $.

Barrett-Gonzalez, qui préside l'American Association of University Professors, a déclaré qu'il voyait l'enregistreur de frappe comme un problème potentiel « pour chaque instructeur dans chaque université et chaque enseignant dans chaque école secondaire dans le pays. Nous devons faire passer le message aux éducateurs partout dans le monde. »

Il ne s'agit pas seulement de changer de notes, a déclaré Barrett-Gonzalez. Une fois que les pirates ont un identifiant et un mot de passe d'instructeur, ils ont accès au site Web des ressources humaines et même à l'information sur la paie et les comptes bancaires d'un membre du corps professoral.

« Une personne peut changer le numéro de routage sur le dépôt direct de la paie et faire virer la masse salariale d'un membre du corps enseignant dans un autre compte », a-t-il rappelé.

Ce que l'étudiant a fait « transcende la simple violation de la conduite des étudiants et devient un acte criminel », a déclaré Barrett-Gonzalez. Selon lui, les professeurs veulent voir l'étudiant poursuivi pour son comportement dans l’espoir de dissuader tous ceux qui voudraient s’en inspirer. « C'était une brèche de sécurité. »

Il a déclaré que l’administration de la faculté d’ingénierie a assuré que l'incident n'était « pas un gros problème », mais il soupçonne que d'autres incidents sont probablement passés inaperçus ou non publiés dans d'autres universités.

Suzanne Shontz, professeure agrégée de génie électrique et d'informatique à la KU, a également assisté à la réunion durant laquelle ce problème a été débattu. Elle a confirmé les informations communiquées par Barrett-Gonzalez au sujet de la violation de la sécurité, et a également déclaré que le corps professoral avait reçu des conseils pour se prémunir contre de telles attaques à l'avenir.

« Cela ne fait pas de mal de vérifier et de s'assurer que vous ne voyez pas l'un de ces enregistreurs de frappe insérés avant de vous connecter », a déclaré Shontz.


Elle a affirmé avoir été surprise lorsqu'elle a appris la violation de la sécurité la semaine dernière. C'est la première fois qu'elle a entendu parler de telles attaques, et elle espère que l'université ne verra pas de naître de copycat.

Les professeurs de l’université sont en colère contre leur hiérarchie parce que l'incident a eu lieu au printemps dernier, mais ils n'en ont pris connaissance qu’il y a deux semaines, au début de la nouvelle année scolaire pendant une réunion.

Les professeurs ont dit qu'ils auraient aimé recevoir un avertissement afin de pouvoir surveiller eux-mêmes les incidents similaires et de regarder de plus près les notes qu'ils ont attribuées.

Néanmoins, ce n'est pas la première fois que les étudiants piratent leur établissement ou leurs professeurs pour tenter de changer leurs notes. En 2015, un lycée de Louisiane a suspendu 45 de ses étudiants pour avoir piraté le système de notation de l'école et changé les notes.

Des hacks similaires se sont produits dans d'autres pays, tels que la Chine. Le Technion Institute of Technology à Haïfa, Israël a expulsé un étudiant en mars pour piratage des courriels des professeurs afin de trouver des informations susceptibles de lui faire améliorer ses notes.

D'autres étudiants, peut-être pas assez équipés pour procéder au piratage de leur établissement, se sont tournés vers les attaques DDoS. Quoi qu’il en soit, dans la plupart des cas rapportés, les étudiants finissent par être pris et peuvent faire parfois face à une action en justice.

Source : Kansas City, LJ World, Daily World, Shangai Daily
  Discussion forum
38 commentaires
  • AstralBit
    Membre à l'essai
    Ca me rappelle quand j'étais à l'université. A un moment dans l'année le débit internet de la fac entière était diminué de plus de 60%. Personne ne s'était rendu compte que des étudiants en informatique avait squatté la bande passante par je ne sais quelle technique tout ca pour télécharger des vidéos de séries et consort... Conseil de discipline. Conséquence: Exit>Alt+F4.
    Pas très malin quand on est la pour apprendre des trucs un peu plus intéressant... Un peu comme tous ces mecs jouant à Warcraft3 (oui, ça remonte!) squattant la salle informatique h24 (oui, oui, la nuit aussi) censée être utilisée pour les TP. En même temps, c'est tant mieux, je leur ai jamais rien dit, ils baissaient la moyenne ces débiles donc remontait automatiquement ma note... Les cotas l'obligent!

    Par la suite, quand j'étais pion dans un collège, je ne compte plus le nombre de problèmes de sécurité mis en place à cause du laxisme des profs, surveillant, CPE avec leurs mots de passes. Ils l'écrivent sur un papier scotché sur l'ordinateur (c'est tellement plus simple qu'il me disait). Ou encore REFUSENT catégoriquement de fermer la session quand tu leur parle des conséquences (RAF). Et forcément tu te fait presque insulter quand c'est le cas... Le summum c'est le prof qui donne son mot de passe à l'élève devant toi et dis à l'élève de faire l'appel sur l'ordinateur à sa place parce qu'il a un truc important à faire... bien sur! Il pouvait avoir accès aux notes aussi il me semble, mais je suis pas certain.

    Régulièrement les élèves me donnait les mots de passes (juste comme ca) qu'ils avaient trouvés dans la journée. Et si je me log avec le mot de passe et que je fous tout dans la poubelle. Si on ne me trouve pas, on va taper sur les doigts de qui? Personne à mon avis par contre si un élève se fait prendre parce qu'il à envie de toucher le trésor qu'on lui met presque sous la main... on lui dévissera la tête!
    Bizarre.
    le 22/10/2017 à 18:51
  • RyzenOC
    Inactif
    Je pense surtout que c'est la partie immergé de l'iceberg.

    L'étudiant intelligent trichera de manière modéré, celui qui à accès par exemple aux réponses de son contrôle fera exprès de faire quelques faute pour pas éveiller les soupcons. C'est le bon sens meme. De meme qu'un politicien voulant détourner de l'argent le fera par petites sommes sur la durée et pas d'un coup.
    Le bon sens aurais voulue que cette étudiant augmente un peu ces notes mais aussi celle de ces camarades afin de brouiller les pistes au cas ou. Tant qu'aucune caméra n'a vue l'étudiant trafiquer l'ordinateur l'université n'a aucune preuve.

    Quoi qu’il en soit, dans la plupart des cas rapportés, les étudiants finissent par être pris et peuvent faire parfois face à une action en justice.
    On connais le nombre d'étudiant pris mais combien ne sont pas pris ? Combien d'étudiants chaque années triche au bac par exemple sans se faire prendre par exemple ? on ne le sait pas.
    le 22/10/2017 à 15:36
  • R6502
    Membre du Club
    Petite anecdote s'étant déroulée en 1979, 80 ou 81, je ne me rappelle plus exactement. Un élève de ma classe de SPE M qui s'était rendu en salle des profs, aperçoit un sujet de DS et en récupère un exemplaire. Après coup il réalise qu'il n'a pas piqué le sujet qui nous est destiné mais celui de la classe de SPE P. Tous les élèves (sauf un, "évité" planchent sur le sujet le midi avant de composer lors de l'après-midi. Le prof est très content du résultat de la classe. Par contre lors de la correction en classe il y a un léger problème. Une élève envoyée au tableau se retrouve incapable de réaliser une démonstration et un peu perdue. Le prof ne comprend pas qu'elle soit incapable de reproduire ce qu'elle avait fait dans son DS. Elle finie par avouer qu'il y a eu une fuite... C'est ballot d'apprendre par cœur et de ne pas comprendre, d'autant plus que la correction en classe était la pratique courante...
    Elle a du s'en sortir relativement bien (je ne me rappelle plus depuis le temps, peut être un simple zéro). Toute la classe a du replancher sur un autre DS car le prof a compris qu'elle n'était probablement pas la seule dans la confidence.
    Pas d'informatique (le PC n'était pas encore là), mais faille de sécurité quand même...
    le 23/10/2017 à 21:00
  • Cpt Anderson
    Membre émérite
    Envoyé par R6502
    Petite anecdote s'étant déroulée en 1979, 80 ou 81, je ne me rappelle plus exactement. Un élève de ma classe de SPE M qui s'était rendu en salle des profs, aperçoit un sujet de DS et en récupère un exemplaire. Après coup il réalise qu'il n'a pas piqué le sujet qui nous est destiné mais celui de la classe de SPE P. Tous les élèves (sauf un, "évité" planchent sur le sujet le midi avant de composer lors de l'après-midi. Le prof est très content du résultat de la classe. Par contre lors de la correction en classe il y a un léger problème. Une élève envoyée au tableau se retrouve incapable de réaliser une démonstration et un peu perdue. Le prof ne comprend pas qu'elle soit incapable de reproduire ce qu'elle avait fait dans son DS. Elle finie par avouer qu'il y a eu une fuite... C'est ballot d'apprendre par cœur et de ne pas comprendre, d'autant plus que la correction en classe était la pratique courante...
    Elle a du s'en sortir relativement bien (je ne me rappelle plus depuis le temps, peut être un simple zéro). Toute la classe a du replancher sur un autre DS car le prof a compris qu'elle n'était probablement pas la seule dans la confidence.
    Pas d'informatique (le PC n'était pas encore là), mais faille de sécurité quand même...
    Petite anecdote lorsque j'étais en BTS. Nous avions des DS le samedi matin et nous redoutions tous les DS de Régulations/Automatismes, toujours très difficiles. Le DS du samedi se déroule et la semaine suivante le prof rend les copies. D'emblée, tu sens le prof hyper mécontent...Les notes partent de 0. Perso, je me tape 4 sur 20, et au final, c'est la moyenne de la classe avec très peu de notes au dessus de la moyenne, même le meilleur termine avec 10 ou 11. Le seul hic, une personne a 20/20. Et c'est un cancre. Le con avait chopé le DS avant, bien sur, et avait rendu une copie sans aucune faute. Quel crétin, on a tous bien rigolé quand même malgré nos notes dégueulasses.
    le 24/10/2017 à 12:03
  • e101mk2
    Membre éclairé
    Envoyé par RyzenOC
    Je pense surtout que c'est la partie immergé de l'iceberg.

    L'étudiant intelligent trichera de manière modéré, celui qui à accès par exemple aux réponses de son contrôle fera exprès de faire quelques faute pour pas éveiller les soupcons.
    [...]
    Le bon sens aurais voulue que cette étudiant augmente un peu ces notes mais aussi celle de ces camarades afin de brouiller les pistes au cas ou.
    Moi j'aurais fait l'enfoiré de base. J'aurais augmenté un peu mes notes, mais j'aurais fortement augmentée les notes des fouteurs de merde/débile au gros muscle.
    Toujours camoufler son acte, et surtout créer un coupable parfait!!! Mais bon, quand j'était à l'école, j'ai jamais eu besoin de tricher, c'est pas sport.
    le 22/10/2017 à 15:59
  • Envoyé par Ryu2000

    Du côté des enseignants, il y avait plein de solutions pour ne pas que ça arrive.
    Solution manuelle :
    - Écrire les notes sur une feuille et, à la fin, comparer la note sur le logiciel avec la note sur le papier
    Solution numérique :
    - Faire une historique, garder la date de modification de la note, mettre des alertes (il faut un message : "Vous avez changé cette note le xx/xx/xxxx à yy:yy:yy"
    Mais les enseignants n'ont pas la main sur l'environnement. C'est celui de l'éducation nationale. Et pour le papier, vérifier manuellement les 10 notes de leurs 300 élèves, moi je ne le ferai pas. Ce n'est pas leur travail.
    La grève des enseignants il y a deux semaines portait entre autres sur la lourdeur administrative et l'augmentation du nombre de tâches annexes dont ils ont la charge (notamment les procédures interminables pour rendre compte de leur travail -- paradoxalement). En fait, à ce rythme-là, ils n'auront bientôt plus le temps d'enseigner.
    le 24/10/2017 à 10:44
  • ZenZiTone
    Membre expert
    Envoyé par Stéphane le calme
    Néanmoins, ce n'est pas la première fois que les étudiants piratent leur établissement ou leurs professeurs pour tenter de changer leurs notes. En 2015, un lycée de Louisiane a suspendu 45 de ses étudiants pour avoir piraté le système de notation de l'école et changé les notes.
    Pour moi, le plus gros problème ici n'est pas la falsification des notes (c'est même anecdotique..). En revanche, ça montre que n'importe qui, étudiant ou personnel, est en mesure d'accéder aux informations confidentielles d'autres personnes. C'est à dire blague de mauvais genre (au meilleur des cas) jusqu'à l'usurpation d'identité.

    Un problème de sécurité informatique? Un simple caisson à clef pour accéder au PC pourrait déjà résoudre ce genre de problèmes..
    le 24/10/2017 à 15:14
  • RyzenOC
    Inactif
    Envoyé par Ryu2000

    Les élèves qui branchent un keylogger prennent un risque énorme, si ils se font prendre ils se font virer directement de l'établissement.
    Le risque est minime. Un keylogger sa se branche en 3 seconde, les profs ne surveillent pas chaque salle et chaque élève 24h/24 et y'a pas de camera dans les salles.
    Faut vraiment pas avoir de bol pour qu'un prof nous regarde durant ce laps de temps très très court ou tu insère le keylogger.

    Mais pas besoin d'un keylogger qu'on branche a de l'usb, un simple .exe winrar qui installe un script autoIt dans le dossier démarrage de Windows suffit.
    Ou mieux une clé spécifique compatible windows mac et linux
    le 25/10/2017 à 9:39
  • ZenZiTone
    Membre expert
    Envoyé par Ryu2000
    Ce n'est pas réalisable on ne peut pas cacher toutes les tours.
    Et de toutes façons les élèves doivent avoir accès aux ports USB pour brancher une clé au cas où ils doivent copier des documents.
    Ainsi qu'au lecteur/graveur DVD.
    Clef USB = faille de sécurité. Donc soit ils mettent en place des plateformes d'échanges, soit des PC dédiés à ce genre de pratique. Mais pour moi, les PC de travail des profs (car là, il s'agissait bien de ça) ne doivent en aucun cas être accessible via des périphériques externe.
    le 25/10/2017 à 12:24
  • RyzenOC
    Inactif
    Envoyé par mb90821
    Si t'es vraiment intelligent, tu choisis un programme d'études qui te passionne vraiment, et tellement, que tu as toujours envie d'étudier et d'apprendre sur le sujet. Tu ne veux pas prendre de vacances et tu ne voudras jamais prendre ta retraite car tu fais vraiment ce que tu as dans les tripes.

    Pas besoin de tricher dans ce temps là.
    sauf que tu n'apprend pas ce que tu veut, tu choisis un cursus mais les matières te son imposé. On a tous dans nos études eu des matières que l'on trouvait chiantes/inutiles qu'on avait pas envie de bosser.
    le 01/11/2017 à 8:48
  Poster une réponse