Le piratage informatique de Mobile Guardian a-t-il révélé des failles majeures dans le système de gestion des appareils scolaires ? Récemment, un étudiant à Singapour a exposé des documents montrant une sécurité laxiste dans Mobile Guardian, une plateforme très populaire de gestion des appareils mobiles scolaires. Quelques semaines plus tard, une cyberattaque sur l’entreprise a effacé massivement les appareils des élèves, perturbant ainsi leur apprentissage.
Quel était le rôle de cet étudiant dans cette affaire ? Ayant peur des représailles légales, l’étudiant a préféré ne pas divulguer son identité lorsqu’il a contacté TechCrunch. Il a toutefois indiqué avoir signalé la faille de sécurité au gouvernement de Singapour par email fin mai, sans avoir la certitude que la faille ait été corrigée. Le gouvernement a affirmé à TechCrunch que la vulnérabilité avait été corrigée avant l’attaque du 4 août, mais l’étudiant estime que la faille était tellement simple à exploiter qu’elle pourrait suggérer l’existence d’autres vulnérabilités similaires.
Comment Mobile Guardian, une entreprise basée au Royaume-Uni, a-t-elle réagi à cette attaque ? Le 4 août, la société a déclaré la brèche et fermé sa plate-forme pour bloquer l’accès malveillant. Mais l’intrus avait déjà utilisé cet accès pour effacer les appareils des élèves. Le lendemain, l’étudiant a publié les détails de la vulnérabilité envoyés initialement au ministère de l’Éducation de Singapour, un client majeur de Mobile Guardian depuis 2020.
La faille de sécurité accordait un accès « super admin » à toute personne connectée.
Était-il possible que cette faille soit exploitée par n’importe qui ? Selon un post Reddit de l’étudiant, la faille permettait à tout utilisateur connecté d’obtenir des privilèges de « super admin » dans le système de gestion des utilisateurs de Mobile Guardian. Cette découverte signifiait qu’une personne malintentionnée pouvait agir en tant qu’administrateur scolaire, avec la capacité de « réinitialiser l’appareil personnel de chaque élève ».
Qu’a fait le ministère de l’Éducation de Singapour après avoir été informé de cette faille ? Le 30 mai, l’étudiant avait signalé le problème au ministère de l’Éducation, qui a répondu trois semaines plus tard en disant que la faille n’était « plus préoccupante » mais sans fournir plus de détails en raison de la « sensibilité commerciale ». Une porte-parole du ministère, Christopher Lee, a confirmé la réception de cette alerte et assuré que la faille avait été détectée lors d’un précédent contrôle de sécurité et déjà patchée.
Pourquoi le ministère se montre-t-il prudent malgré la correction de la faille ? Le ministère a en effet tenu à souligner que les menaces cybernétiques évoluent rapidement et que de nouvelles vulnérabilités peuvent être découvertes. Il a également précisé que toutes les divulgations de vulnérabilité sont prises très au sérieux et feront l’objet d’une enquête approfondie. Une vidéo fournie par l’étudiant à TechCrunch montre comment cette faille pourrait être exploitée en utilisant uniquement les outils de navigation pour modifier le trafic réseau et créer un compte avec des privilèges « super admin ».
Comment réagit Mobile Guardian aux multiples demandes de commentaires sur cette vulnérabilité ? Avant la publication, le PDG Patrick Lawson n’a pas répondu aux multiples sollicitations. Après notre prise de contact, la société a mis à jour sa déclaration, affirmant que toutes les vulnérabilités précédemment signalées avaient été résolues et ne représentaient plus de risque, sans préciser quand elles avaient été corrigées ni s’il existait un lien avec l’attaque d’août.
Est-ce que Mobile Guardian a déjà fait face à des incidents similaires ? En avril, le ministère de l’Éducation de Singapour avait confirmé un piratage du portail de gestion de l’entreprise, compromettant les informations personnelles de parents et du personnel scolaire. Le ministère avait alors attribué cette violation à une politique laxiste de mots de passe plutôt qu’à une vulnérabilité spécifique du système.
Connaissez-vous davantage sur la cyberattaque de Mobile Guardian ? Avez-vous été touché ? Contactez-nous. Vous pouvez joindre ce journaliste sur Signal et WhatsApp au +1 646-755-8849, ou par email. Vous pouvez envoyer des fichiers et des documents via SecureDrop.
Source : Techcrunch
