English
seperator
 



Q & R - Étudiant renvoyé du Collège Dawson - 24 Janvier 2013

Mise en contexteLe 26 octobre 2012, le Service de l'informatique du Collège Dawson communiquait avec notre entreprise pour nous informer que deux étudiants de Sciences informatiques étaient parvenus à découvrir une vulnérabilité dans un de nos produits utilisés pour le portail du collège. Le collège nous détailla immédiatement la vulnérabilité afin qu'elle soit réglée rapidement.

Comment qualifiez-vous la vulnérabilité détectée?Il s'agit d'une vulnérabilité classée comme critique. Si elle avait été rendue publique avant d'être corrigée, elle aurait pu permettre à une personne mal intentionnée d'accéder au compte en ligne d'un étudiant sans sa permission, en n'utilisant que son numéro d'étudiant.

Dans les 24h, la vulnérabilité fût corrigée de manière permanente pour l'ensemble des systèmes affectés, sans qu'elle n'ait pu être exploitée.

Nous serons pour toujours reconnaissants envers les deux étudiants de Sciences informatiques qui ont découvert et rapporté cette vulnérabilité. Nous les estimons extrêmement brillants.

D'ailleurs, nous avions ensuite félicité et récompensé un des deux étudiants, celui qui n'a pas été impliqué dans les événements subséquents.

En quoi consistaient les événements subséquents? Le 28 octobre, entre 18h et 20h, nos systèmes de sécurité ont détecté une cyber-attaque, constituée de milliers de requêtes adressées au portail du Collège Dawson: injection SQL, XSS (Cross-Site Scripting) ainsi que d'autres méthodes d'intrusion généralement utilisées pour tenter de hacker un système.

Est-ce que ces actions ont été menées en environnement Test ou Production? Les actions qui ont attiré notre attention ont été menées de façon non annoncée, dans le portail en environnement Production, utilisé par toute la population du collège.

Était-ce une façon de tester la présence de la vulnérabilité corrigée plus tôt? La correction de la vulnérabilité pouvait être testée et démontrée sans logiciel spécialisé, et sans aucune tentative d'intrusion de ce genre.

Vos systèmes ont-ils bien résisté? Oui. Nous testons régulièrement nos systèmes contre ces types d'attaques, et la seule conséquence fût un ralentissement du portail du collège pour ses utilisateurs, ressenti le soir de l'événement. Nous avons depuis poursuivi nos travaux d'optimisation afin d'atténuer l'impact de ce type d'attaque sur les temps réponses ressentis pour les utilisateurs normaux du portail.

Comment avez-vous réagi sur le coup?Nous avons détecté l'attaque, alerté notre client (Collège Dawson) sur le champ, et lui avons demandé la permission de communiquer directement avec la source de l'attaque, qui provenait d'un de ses étudiants.

La situation nous a semblé suffisamment sérieuse pour que ce soit notre directeur général qui communique avec l'étudiant, étudiant que nous ne connaissions pas à ce moment.

Nous avons contacté l'étudiant et exigé qu'il cesse toute attaque sur le portail du collège, ce qu'il a immédiatement fait. Le ton de la conversation est toujours demeuré calme et courtois. Contrairement à ce qui a été rapporté dans certains médias, aucune menace n'a été proférée. Sous le choc, l'étudiant a possiblement mal compris certains de nos propos, qui visaient à le faire réaliser la gravité de la situation. Nous lui avons expliqué que ce type d'attaque non-annoncée sur des serveurs en production desservant toute la population du collège n'était pas approprié, et était susceptible d'être rapporté aux autorités, à moins que l'étudiant ne nous démontre clairement au cours des prochains jours que c'était un faux pas et qu'il n'était pas mal intentionné.

L'étudiant nous a répondu qu'il faisait partie des étudiants qui avaient fait un bon coup en rapportant à leur collège une vulnérabilité deux jours plus tôt, et qu'il n'était pas mal intentionné, alors nous lui avons accordé le bénéfice du doute jusqu'à notre rencontre.

Comment se sont passées vos rencontres avec l'étudiant?Les rencontres se sont bien passées. L'étudiant a reconnu son geste et s'est engagé par écrit à ne pas recommencer, et nous avons jugé ses explications valides.

Un point qui jouait hautement en sa faveur est la bonne action qu'il avait faite deux jours avant l'attaque en découvrant et rapportant une vulnérabilité, qui fût aussitôt corrigée.

Même si l'attaque ne servait pas à tester le correctif de la vulnérabilité, nous réitérons que nous demeurerons toujours reconnaissants envers lui pour la découverte de cette vulnérabilité. Voilà pourquoi nous avons fermé le cas au début novembre, sans prendre d'autre action, en considérant l'attaque sur des serveurs en production comme une erreur de parcours.

Que pensez-vous de la décision du collège envers l'étudiant?L'étudiant a fait face à un processus différent auprès de son collège, processus qui est complètement externe à nous.

Pourquoi désirez-vous aider l'étudiant à trouver un nouveau collège?Que ce soit clair, nous n'approuvons pas la dernière action qu'a fait cet étudiant, mais nous estimons que cet événement ne devrait pas faire en sorte qu'il soit privé à jamais de faire ce qu'il aime le plus. Quiconque connait Skytech Communications sait que nous appuyons les jeunes talents en informatique.

Nous estimons que ce jeune homme a appris de cette expérience, et mérite à présent un nouveau départ afin de terminer ses études ailleurs. Avec un tel talent bien canalisé, nous pensons qu'il contribuera à faire avancer le domaine de la cybersécurité.

Lui offrez-vous un emploi?Notre priorité est qu'il puisse finir ses études, et effectivement, nous lui offrons un emploi en cybersécurité où il pourra mettre à contribution ses talents, en dehors de ses heures d'études, dans un environnement de recherche & développement en circuit fermé, le tout sans controverse.

Quelle a été sa réaction?Nous avons été d'heureux d'apprendre, dans une entrevue accordée à la télévision de CBC, qu'il acceptait notre offre de bourse d'études, afin qu'il continue ses études dans un autre collège.

Communiqué - 21 janvier 2013

Le présent communiqué vise à préciser la position de Skytech relativement à la nouvelle présentement en circulation dans les médias.

À la fin octobre 2012, deux étudiants du Collège Dawson ont découvert une faille informatique dans le portail du collège. Cette faille, si elle avait été rendue publique, aurait pu permettre à une personne mal intentionnée d'accéder au compte en ligne d'un étudiant. Dans les 24h, la faille fût corrigée de manière permanente pour l'ensemble des systèmes affectés, sans que personne n'ait pu l'exploiter.

Comme la sécurité est une priorité pour nous, un des deux étudiants ayant trouvé la faille fût félicité et récompensé.

L'autre étudiant (celui dont il est question dans les médias) présentait un cas plus complexe. Après avoir fait une bonne action en collaborant avec son coéquipier à identifier cette faille, il a agi seul, et a été retracé alors qu'il menait ce que nous considérons être une cyberattaque à l'aide de logiciels spécialisés sur les serveurs du collège en production. Nous avons avisé le collège sur le champ et avec sa permission, nous avons contacté l'étudiant et exigé qu'il cesse toute attaque sur le Portail en production.

Nous avons par la suite évalué que la meilleure stratégie avant de prendre toute action était de le rencontrer pour mieux comprendre ses motivations.

Durant ces rencontres, l'étudiant s'est excusé, expliqué et a démontré de grands talents en informatique. Même si nous n'approuvons pas son action, nous avons jugé ses explications valables, et nous avons classé l'attaque dans la catégorie des erreurs de parcours. Le cas fût donc fermé pour nous au début novembre.

L'étudiant a fait face à un processus différent auprès de son collège, processus qui n'est pas de notre ressort mais que nous respectons.

- -

Nous jugeons que cet événement ne devrait pas faire en sorte que cet étudiant doué, qui a également contribué à trouver une faille de sécurité, soit privé de faire ce qu'il aime le plus.

Tout comme nous collaborons déjà avec l'autre étudiant qui a aidé à trouver la faille, nous proposerons à cet étudiant de travailler pour nous sur des mandats en sécurité informatique, afin qu'il puisse œuvrer dans le domaine qu'il aime.

- -

La sécurité est une préoccupation constante pour notre entreprise, et c'est pourquoi nous investissons des efforts continus pour nous assurer que les utilisateurs de nos technologies profitent de la surveillance et du renforcement permanent de nos systèmes.