Un mouchard dans un corrigé de Langages du Web
Une bien curieuse affaire a secoué la semaine dernière le module de Langages du Web. En effet, un fichier diffusé en guise de correction espionnait en cachette le contenu des ordinateurs personnels des étudiants.
La nouvelle a fait grand bruit dans une période où le respect des données personnelles et de la confidentialité était au centre des débats. Le responsable de l'UE, Eric Merlet,
nous assure :
Je peux vous garantir que je n'y suis pour rien, et je ne comprends pas ce qui a pu se passer !
En cause, un banal fichier HTML diffusé aux étudiants comme solution au TP1. Sans crier gare, à l'ouverture de ce script, un😀 message 😀d'alerte 😀 😀 s'affichait indiquant Vous avez été hacké ! <script>alert("Vous avez été hacké !"); document.location.replace("https://fr.wikipedia.org/wiki/Cross-site_scripting#Protection_contre_les_XSS");</script>.
Les chercheurs en sécurité informatique du DISC se sont penchés sur ce script, qui, s'il semble inoffensif au premier abord, révèle un lourd secret. Julien Bernard, expert en sécurité, nous explique :
On pourrait penser que ce programme n'est qu'une menace en l'air, comme on aime à en prononcer, mais il n'en est rien. Le script effectue un scan minutieux des cookies de l'utilisateur et profite d'une faille de sécurité au niveau des instructions bas niveau du processeur pour ouvrir une backdoor qui sert ensuite à un troyan qui et envoie toutes les données de l'étudiant vers un site en Corée du Nord. Nous avons remonté la piste et récupéré les données qui ont été collectées durant plusieurs mois. Nous sommes en train de les analyser. On verra bien ce qu'il en ressort.
Plusieurs étudiants, blêmes, nous ont confié leurs inquiétudes :
C'est à dire que... euh... je garde sur mon ordi des vidéos un peu...personnelles... J'espère qu'elles ne sont pas parties en Corée du Nord...