Récemment a été mis en place Gibii, un outil accessible en ligne pour tous les élèves du collège/lycée, permettant la validation de compétences informatiques nécessaires au passage du brevet/bac.
J'ai donc eu mes propres identifiants pour accéder à mon interface Gibii.
Sauf que voilà, je suis tombé sur un nombre de failles assez conséquent (vérification côté client, pas serveur, failles SQL/XSS et j'en passe), et elles sont remarquables assez facilement pour quiconque s'y connait un minimum en informatique.
Remarquez l'ironie de la situation, il s'agit d'un outil permettant la validation de compétences informatiques, sauf que les développeurs de Gibii ne le sont apparemment pas, compétents !
Je le dis à titre humoristique hein, ils ne disposent peut-être tout simplement pas des moyens nécessaires pour mener à bien un tel projet, inutile de rentrer dans le débat.
Concrètement, je peux très facilement récupérer le hash MD5 de n'importe quel élève, pour peu qu'il soit dans mon académie. Bien que les failles doivent être également présentes dans les autres académies. Les mots de passes sont des chaines de 5 caractères [a-z;0-9], je vous laisse imaginer le temps de calcul d'un brute-force... pas grand chose. Mais également récupérer le mot de passe du super-administrateur. Celui qui gère tous les établissements de l'académie. Et là, je vous laisse imaginer les conséquences que cela pourrait avoir.
Bref, je ne sais donc pas à qui m'adresser pour signaler ces failles. Dois-je le faire en anonyme... ?
Merci de m'éclairer.
Bravo, tu viens de le faire de manière très anonyme.
Hummm, tu ferais mieux de leur dire avant de poster sur un forum comme celui-ci.
C'est d'autant plus inquiétant que c'est un vrai gruyère.
Oui, c'est vrai, mais je ne cherche pas non plus à me cacher.
Je viens de vérifier, 9 académies sont touchées par une des failles importantes... Du coup je ne sais vraiment pas à qui les signaler, aux académies une par une, au ministère de l'éducation... ?
Tu devrais le faire dans l'anonymat le plus complet (on ne sait jamais ce qu'on peut te reprocher plus tard, imagine qu'on te mette sur le dos toutes les exploitations de failles même si ce n'est pas toi).
Oui, c'est un peu parano, je ne pense pas qu'ils iront chercher, mais mieux vaut prévenir que guérir.
Alors direction le hotspot du McDo du coin, email jetable.
Si il y a un lien pour contacter le webmaster utilise celui-ci. Dans le cas contraire vois avec le service informatique de ton collège/Lycée si il y en a un.
Tu devrais le faire dans l'anonymat le plus complet (on ne sait jamais ce qu'on peut te reprocher plus tard, imagine qu'on te mette sur le dos toutes les exploitations de failles même si ce n'est pas toi).
Oui, c'est un peu parano, je ne pense pas qu'ils iront chercher, mais mieux vaut prévenir que guérir.
Alors direction le hotspot du McDo du coin, email jetable.
Merci, mais j'ai déjà vu ce lien, et il ne concerne que l'académie de Créteil, or je souhaite prévenir l'ensemble des académies touchées.
Quand je dis que 9 académies sont touchées par une des failles les plus importantes de Gibii. Sur ces 9 académies, n'importe quelle personne peut exploiter la faille, même si elle ne possède pas de compte.
Effectivement, toutes les académies utilisant Gibii sont touchées par des failles, mais les failles sont présentes dans l'"espace membre". Seules les personnes disposant d'un compte peuvent les exploiter. Et le formulaire de connexion est sécurisé. (A ma connaissance...)
Citation : S4nGoKu
Je sais pas qui à codé ce site, mais il devrait avoir honte... Les stagiaires que le gouvernement embauche sont vraiment pas très soucieux...
Il faut savoir qu'à la base, Gibii est un outil Open-Source disponible au téléchargement, les sources ont depuis été retirées de la toile (officiellement en tout cas ; pratique pour connaître les tables de la BDD au passage...). Donc ça m'étonnerait vraiment qu'il soit codé par le gouvernement, en tout cas au début.
Il faut aussi savoir que de nombreuses mises à jour corrigeant les failles les plus importantes sont sorties, mais la plupart des académies ne mettaient pas à jour. Et certaines académies ont déjà migré vers Obii, un logiciel de gestion de B2I beaucoup mieux fait; et sécurisé... mais cela ne concerne pour le moment que 2-3 académies; sur 30.
Et puis de toute façon, même si ça avait été le cas, on ne peut pas dire ça non plus, ce sont des fonctionnaires, et on sait tous que par les temps qui courent, ces derniers manquent de moyens...
Citation : Mimos@
Si il y a un lien pour contacter le webmaster utilise celui-ci. Dans le cas contraire vois avec le service informatique de ton collège/Lycée si il y en a un.
De même, je veux prévenir toutes les académies touchées, et non pas la mienne seulement.
Je pense que je vais rédiger un rapport général répertoriant toutes les failles que je connais. Et je l'enverrai à toutes les académies, je ne sais pas encore par quel moyen.
En effet, c'est très sérieux...
Mais prend garde à toi, car depuis que la loi sur l'économie numérique (la LCEN) a été votée en France, le fait de divulguer publiquement sur Internet des vulnérabilités accompagnées de code d'exploitation est interdit.
=> http://fr.wikipedia.org/wiki/Loi_sur_l [...] um%C3%A9rique
En effet, c'est très sérieux...
Mais prend garde à toi, car depuis que la loi sur l'économie numérique (la LCEN) a été votée en France, le fait de divulguer publiquement sur Internet des vulnérabilités accompagnées de code d'exploitation est interdit.
=> Loi_sur_l'économie_numérique
Bon, il n'y a pas de code, mais bon
Non, je n'ai rien divulgué, mais c'est bon à savoir, merci.
Citation : Prosper_Le_Purineur
Citation : nivramdu94
Et le formulaire de connexion est sécurisé. (A ma connaissance...)
C'est pas ce que j'ai cru voir...
Je parle sur les 21 autres moi, on est d'accord ?
Si tu le dis.
Je sais pas qui à codé ce site, mais il devrait avoir honte... Les stagiaires que le gouvernement embauche sont vraiment pas très soucieux...
Ce n'est pas développé par le gouvernement . Maintenant le gouvernement paye des entreprises pour qu'elles produisent des espaces de travail qui comme toi ne sont pas sécurisés et c'est encore plus dangereux. Sur celui utilisé par mon lycée j'ai accès aux comptes des autres, au super-admin, conseil de classe et aux fichiers (car nous mettons tous nos fichiers en ligne) rien qu'en modifiant les headers ...
J'ai ris... Non mais ceux qui développent ça devrait se lancer dans la jardinerie (j'ai rien contre les jardiniers, c'est juste le premier métier qui me vient).
Je sais pas qui à codé ce site, mais il devrait avoir honte... Les stagiaires que le gouvernement embauche sont vraiment pas très soucieux...
Ce n'est pas développé par le gouvernement . Maintenant le gouvernement paye des entreprises pour qu'elles produisent des espaces de travail qui comme toi ne sont pas sécurisés et c'est encore plus dangereux. Sur celui utilisé par mon lycée j'ai accès aux comptes des autres, au super-admin, conseil de classe et aux fichiers (car nous mettons tous nos fichiers en ligne) rien qu'en modifiant les headers ...
Tu y as accès, c'est déjà pas mal.
Mais moi, je peux récupérer le mot de passe à proprement parler du super-admin ou de n'importe quel élève. Or généralement, les personnes n'utilisent pas des mots de passe différents pour les sites.
En gros, si la personne n'est pas consciente de ce problème, je peux accéder à son Facebook ou autres (donc TOUTE la vie privée)...
Citation : AmarOk1412
J'ai ris... Non mais ceux qui développent ça devrait se lancer dans la jardinerie (j'ai rien contre les jardiniers, c'est juste le premier métier qui me vient).
J'ai ris... Non mais ceux qui développent ça devrait se lancer dans la jardinerie (j'ai rien contre les jardiniers, c'est juste le premier métier qui me vient).
C'est très bien la jardinerie
Peut-être que le développeur avait un temps limité ? Peut-être qu'il n'était pas au courant ? ... ?
Il faudrait quand même voir le pourquoi du comment avant de critiquer
Envie de parler d'Hadopi etc...
Dur dur de se retenir de troller.
Failles inquiétantes sur Gibii
× Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
× Attention, ce sujet est très ancien. Le déterrer n'est pas forcément approprié. Nous te conseillons de créer un nouveau sujet pour poser ta question.
Blond, bouclé, toujours le sourire aux lèvres...