De graves failles de sĂ©curitĂ© ont Ă©tĂ© dĂ©couvertes dans le système Ofek utilisĂ© par les Ă©tudiants israĂ©liens pour l’enseignement Ă distance pendant l’ Ă©pidĂ©mie de coronavirus, selon des chercheurs en sĂ©curitĂ© de l’information Ă Check Point Software, basĂ© Ă Tel Aviv.
Ofek est le plus grand système numĂ©rique utilisĂ© par les Ă©coles israĂ©liennes pour l’enseignement Ă distance dans les Ă©coles Ă©lĂ©mentaires, intermĂ©diaires et secondaires.
Les failles de sĂ©curitĂ© ont permis aux attaquants d’accĂ©der aux informations personnelles des Ă©lèves, notamment leurs adresses, numĂ©ros de tĂ©lĂ©phone, e-mails et numĂ©ros d’identification, leurs notes et la possibilitĂ© de modifier leurs notes, les informations personnelles des enseignants et l’accès Ă des fichiers sĂ©curisĂ©s. Les attaquants pourraient Ă©galement modifier les mots de passe des Ă©lèves et des enseignants.
L’attaque pourrait ĂŞtre exĂ©cutĂ©e en envoyant un lien malveillant de l’intĂ©rieur du système Ă un utilisateur. Lorsque le lien est cliquĂ©, l’attaquant peut envoyer du code malveillant Ă distance vers les comptes des utilisateurs.
« Toutes les plates-formes numĂ©riques peuvent ĂŞtre utilisĂ©es comme un champ de bataille pour les cyberattaques et Ă mesure que l’utilisation d’une plate-forme augmente, de mĂŞme la plate-forme devient davantage une cible de » qualitĂ© « pour les cybercriminels », a dĂ©clarĂ© Oded Vanunu, responsable de la recherche sur la vulnĂ©rabilitĂ© des produits chez CheckPoint, ajoutant que le système Ofek est devenu plus populaire rĂ©cemment au milieu de l’Ă©pidĂ©mie de coronavirus.
Aucune attaque n’a Ă©tĂ© menĂ©e en utilisant la faille de sĂ©curitĂ©, selon le CET.
Les chercheurs ont dĂ©clarĂ© que les plugins sont installĂ©s sur environ 100 000 plateformes Ă©ducatives, notamment par l’UniversitĂ© de Floride, l’UniversitĂ© du Michigan et l’UniversitĂ© de Washington. Les trois plates-formes sont Ă©galement utilisĂ©es dans environ la moitiĂ© de toutes les solutions d’apprentissage Ă distance sur le marchĂ© israĂ©lien, permettant aux entreprises de crĂ©er des quiz, des leçons, des rĂ©compenses pour les apprenants et des certificats.
Les failles ont permis aux Ă©tudiants et aux utilisateurs non authentifiĂ©s de voler des informations personnelles, y compris les noms, les e-mails, les noms d’utilisateur et les mots de passe ; acheminer l’argent d’un LMS vers leur compte bancaire ; changer de notes pour eux-mĂŞmes ou leurs pairs ; falsifier des certificats ; rĂ©cupĂ©rer les rĂ©ponses aux tests ; et d’Ă©lever leurs privilèges système Ă ceux d’un enseignant.
Suite à leur découverte et leur divulgation par Check Point en mars, toutes les vulnérabilités identifiées ont été corrigées par les développeurs de plugins.





