Rejoignez nous en live !
De graves failles de sécurité ont été découvertes dans le système Ofek utilisé par les étudiants israéliens pour l’enseignement à distance pendant l’ épidémie de coronavirus, selon des chercheurs en sécurité de l’information à Check Point Software, basé à Tel Aviv.
Ofek est le plus grand système numérique utilisé par les écoles israéliennes pour l’enseignement à distance dans les écoles élémentaires, intermédiaires et secondaires.
CheckPoint a signalé les failles de sécurité à la National Cyber ​​Directorate qui a travaillé sur le problème avec le ministère de l’Éducation et le Center for Educational Technology (CET), qui a agi rapidement pour résoudre les problèmes.
Les failles de sécurité ont permis aux attaquants d’accéder aux informations personnelles des élèves, notamment leurs adresses, numéros de téléphone, e-mails et numéros d’identification, leurs notes et la possibilité de modifier leurs notes, les informations personnelles des enseignants et l’accès à des fichiers sécurisés. Les attaquants pourraient également modifier les mots de passe des élèves et des enseignants.
L’attaque pourrait être exécutée en envoyant un lien malveillant de l’intérieur du système à un utilisateur. Lorsque le lien est cliqué, l’attaquant peut envoyer du code malveillant à distance vers les comptes des utilisateurs.
« Toutes les plates-formes numériques peuvent être utilisées comme un champ de bataille pour les cyberattaques et à mesure que l’utilisation d’une plate-forme augmente, de même la plate-forme devient davantage une cible de » qualité « pour les cybercriminels », a déclaré Oded Vanunu, responsable de la recherche sur la vulnérabilité des produits chez CheckPoint, ajoutant que le système Ofek est devenu plus populaire récemment au milieu de l’épidémie de coronavirus.
Aucune attaque n’a été menée en utilisant la faille de sécurité, selon le CET.
La semaine dernière, CheckPoint a annoncé avoir trouvé des vulnérabilités dans trois plugins WordPress – LearnPress, LearnDash et LifterLMS – qui sont utilisés pour transformer les sites Web WordPress en environnements d’apprentissage efficaces par les meilleures universités mondiales et de nombreuses sociétés de Fortune 500.
Les chercheurs ont déclaré que les plugins sont installés sur environ 100 000 plateformes éducatives, notamment par l’Université de Floride, l’Université du Michigan et l’Université de Washington. Les trois plates-formes sont également utilisées dans environ la moitié de toutes les solutions d’apprentissage à distance sur le marché israélien, permettant aux entreprises de créer des quiz, des leçons, des récompenses pour les apprenants et des certificats.
Les failles ont permis aux étudiants et aux utilisateurs non authentifiés de voler des informations personnelles, y compris les noms, les e-mails, les noms d’utilisateur et les mots de passe ; acheminer l’argent d’un LMS vers leur compte bancaire ; changer de notes pour eux-mêmes ou leurs pairs ; falsifier des certificats ; récupérer les réponses aux tests ; et d’élever leurs privilèges système à ceux d’un enseignant.
Suite à leur découverte et leur divulgation par Check Point en mars, toutes les vulnérabilités identifiées ont été corrigées par les développeurs de plugins.
Via Jerusalem Post