Les étudiants de Singapour sont dans une situation difficile après qu’une faille de sécurité a effacé les notes et toutes les autres données des iPad et Chromebooks fournis par l’école exécutant l’application de gestion des appareils mobiles Mobile Guardian.
Selon les médias, cette suppression massive a été un choc pour de nombreux élèves de Singapour, où l’application Mobile Guardian est le fournisseur officiel de gestion des appareils mobiles pour les écoles publiques du pays depuis 2020. Le ministère de l’Éducation de Singapour a déclaré lundi qu’environ 13 000 élèves de 26 écoles secondaires ont vu leurs appareils supprimés à distance lors de l’incident. L’agence a déclaré qu’elle supprimerait Mobile Guardian de tous les iPad et Chromebooks qu’elle distribue.
Deuxième brèche en 4 mois
Lundi également, Mobile Guardian a révélé que sa plateforme avait été piratée lors d’un « incident de sécurité qui a touché des utilisateurs dans le monde entier, notamment en Amérique du Nord, en Europe et à Singapour. Cela a entraîné la désinscription d’un petit pourcentage d’appareils de Mobile Guardian et l’effacement à distance de leurs données. Rien ne permet de penser que l’auteur de l’infraction a eu accès aux données des utilisateurs. »
En réponse à cette faille, Mobile Guardian a interrompu ses services, ce qui empêche les utilisateurs de se connecter à la plateforme Mobile Guardian. Les étudiants verront également leur accès à leurs appareils restreint.
Les représentants de Mobile Guardian n’ont pas répondu aux questions, notamment si la société a identifié les moyens utilisés pour violer sa plateforme, si elle a identifié les attaquants ou si elle a reçu des demandes de rançon.
Cette faille est au moins la deuxième à toucher Mobile Guardian cette année. En avril, une compromission du portail de gestion des utilisateurs de l’entreprise a touché 127 écoles à Singapour. Le portail est utilisé pour l’attribution de licences de compte, l’assistance technique et d’autres tâches administratives. Il a accès aux noms des utilisateurs, aux adresses e-mail, aux noms des écoles et au fait que l’utilisateur soit un parent ou un employé de l’école. Au total, les données de 67 000 parents et de 22 000 membres du personnel scolaire ont été consultées.
Selon le ministère de l’Éducation de Singapour :
Le 12 avril, MG a reçu un courriel indiquant qu’un individu non autorisé avait eu accès au portail de gestion de MG. Ce courriel a été considéré comme un courriel d’hameçonnage, jusqu’à ce que MG reçoive un courriel ultérieur le 16 avril. Dans le deuxième courriel, l’individu a montré des preuves d’accès au portail de gestion de MG et a tenté de solliciter de l’argent en échange du silence sur le fait qu’il avait pu accéder au portail de gestion de MG. MG a réagi à cette deuxième alerte et s’est efforcé d’établir l’étendue de l’accès et les clients concernés. Cela comprenait la suspension de tous les comptes administratifs qui pouvaient être utilisés pour accéder au portail de gestion de MG.
Le 17 avril, tard dans la nuit, MG a informé le MOE de cet incident, ainsi que des mesures de sécurité renforcées mises en place par MG sur son portail de gestion. Le MOE a appris, grâce aux enquêtes préliminaires de MG, qu’un individu non autorisé avait eu accès à un compte d’assistance sur le portail de gestion de MG. MG a estimé que l’individu non autorisé aurait pu utiliser le compte compromis pour consulter les informations de clients basés aux États-Unis et dans la région Asie-Pacifique, y compris à Singapour.
L’agence a déclaré que la violation était « principalement attribuée à une mauvaise pratique de gestion des mots de passe, et non au résultat d’une personne non autorisée exploitant les vulnérabilités des systèmes de MG ».
Mardi, un utilisateur de Reddit a publié un e-mail prétendument envoyé à Mobile Guardian signalant une vulnérabilité « critique » impliquant un contrôle d’accès inapproprié. L’utilisateur a déclaré que la vulnérabilité permet la lecture et la modification non autorisées de « toutes les données des systèmes Mobile Guardian » et ne nécessite que trois minutes pour être exploitée.
Les logiciels de gestion des appareils mobiles permettent aux entreprises et aux écoles de surveiller et de gérer à distance des parcs entiers d’appareils utilisés par les employés ou les étudiants. Mobile Guardian se présente comme une « solution complète pour appareils mobiles » qui fonctionne sur les plateformes Android, Windows, iOS, ChromeOS et macOS et offre la gestion des appareils, la surveillance et le contrôle parental, le filtrage Web sécurisé, la gestion des salles de classe et les communications.
La panne s’est propagée sur les réseaux sociaux. Une image publiée sur Reddit montre des dizaines d’appareils empilés sur une table. « C’est une photo, prise au hasard, du grand nombre d’iPads posés sur la table du département informatique d’une école, qui doivent être effacés et réinstallés après le problème de Mobile Guardian d’hier », a écrit l’utilisateur. Des fils de discussion similaires peuvent être trouvés ici et ici.