Les environnements d’apprentissage à distance et d’apprentissage hybride constituent maintenant la norme, et nul ne sait quand (ni si) cela va changer. Pour s’adapter à cette nouvelle réalité, plusieurs écoles ont adopté de nouveaux logiciels afin d’assurer la gestion à distance des salles de classe.
Parmi ces plateformes, on retrouve Netop Vision Pro, un système de surveillance des élèves qui aide les enseignants à gérer l’apprentissage à distance. Ce logiciel permet aux enseignants d’effectuer des tâches à distance sur les ordinateurs de leurs élèves : verrouiller leurs appareils, bloquer leur accès à Internet, contrôler à distance leur bureau, lancer des applications, partager des documents. Cependant, l’équipe Advanced Research Threat (ATR) de McAfee a découvert récemment que le logiciel Netop Vision Pro présentait de multiples vulnérabilités. Un pirate informatique pourrait les exploiter pour prendre le plein contrôle des ordinateurs des élèves.
Passons en revue ces vulnérabilités et examinons de quelle manière vous pouvez protéger vos enfants dans leur salle de classe virtuelle.
Comment nous avons identifié les vulnérabilités de Netop Vision Pro
À la manière d’une expérience scientifique en classe, nos chercheurs ont créé une simulation afin de tester leur hypothèse concernant de potentiels bogues dans le logiciel. L’équipe ATR de McAfee a configuré le logiciel de Netop de manière à imiter une salle de classe virtuelle composée de quatre appareils reliés au sein d’un réseau local. Trois de ces appareils ont été désignés comme étant des élèves, et le quatrième comme étant un enseignant. Durant le processus de configuration, notre équipe a constaté qu’il existait différents niveaux de permission selon le type de profil : élève ou enseignant. Elle a ensuite décidé de cibler un profil étudiant. C’est probablement ce que ferait un vrai pirate pour causer le maximum de dommages. Une fois l’expérience mise sur pied, le moment était venu pour nos chercheurs de se glisser dans la peau d’un cybercriminel.
L’équipe ATR a réalisé que la totalité du trafic de réseau de la salle de classe, y compris les informations sensibles comme les informations d’identification Windows, était non chiffrée. Aucune option de chiffrement n’était offerte lors du processus de configuration. De plus, lorsqu’un élève se connectait à la salle de classe, celui-ci envoyait sans le savoir des captures d’écran à son enseignant.
L’équipe ATR a également constaté que les enseignants envoyaient à leurs élèves un paquet réseau (une petite quantité de données Internet) les invitant à se connecter à la salle de classe. À l’aide de ces informations, l’équipe a été en mesure de se faire passer pour un enseignant en modifiant son code. Elle a ensuite été en mesure d’évaluer à quel point un pirate informatique pourrait tirer avantage de cette connexion vulnérable.
L’équipe ATR de McAfee s’est d’abord concentrée sur la fonction de clavardage de Netop Vision Pro. Cette dernière donne aux enseignants la possibilité d’envoyer des messages et des fichiers directement à l’ordinateur d’un élève. Elle leur permet également de supprimer des fichiers. Tout fichier envoyé par un enseignant est conservé dans un « répertoire de travail » que les étudiants peuvent ouvrir à partir d’une fenêtre de messagerie instantanée. Si un pirate informatique peut se faire passer pour un enseignant, il est devenu évident qu’il pourrait aussi utiliser cette fonctionnalité pour écraser des fichiers existants ou persuader un élève de cliquer sur un fichier malveillant.
Les risques posés par les vulnérabilités de Netop Vision Pro
À l’heure actuelle, un logiciel d’apprentissage à distance est indispensable pour s’assurer que nos enfants n’accusent aucun retard dans leurs études. Il est toutefois important d’en apprendre davantage sur ces plateformes pour protéger la confidentialité de nos enfants. Bien que la fonction de partage d’écran de Netop Vision Pro semble une bonne solution pour s’assurer que les élèves sont attentifs en classe, elle pourrait permettre à un pirate informatique d’espionner le contenu de leur ordinateur. Les enseignants peuvent surveiller leur classe en temps réel avec cette fonction, mais elle représente également un danger pour la confidentialité des élèves.
Si un pirate informatique se fait passer pour un enseignant en altérant son code, il pourrait envoyer des fichiers malveillants ou des liens d’hameçonnage aux élèves. En outre, les profils d’élèves de Netop Vision Pro signalent en continu leur présence à l’ensemble du réseau, permettant à un pirate d’attaquer l’ensemble du système d’une école.
Finalement, si un pirate parvient à prendre le plein contrôle des systèmes de sa cible par le biais d’un logiciel vulnérable, il peut tout aussi bien poursuivre son attaque dans le monde physique. Le pirate pourrait en effet activer les webcams et les microphones dont est muni l’appareil visé et ainsi espionner physiquement votre enfant et l’environnement qui l’entoure.
Notre réponse face aux vulnérabilités identifiées
Nos chercheurs ont signalé à Netop toutes les vulnérabilités découvertes et l’entreprise leur a répondu peu de temps après. Dans la dernière version du logiciel, soit la version 9.7.2, Netop a résolu plusieurs problèmes découverts par l’équipe ATR de McAfee. Il n’est désormais plus possible pour les élèves d’écraser les fichiers système. Ainsi, un pirate ne peut plus utiliser cette méthode pour prendre le contrôle d’un ordinateur. De plus, les informations d’identification Windows sont maintenant chiffrées avant d’être diffusées sur le réseau. Netop a également signalé à McAfee son intention de mettre en place un mécanisme de chiffrement complet du réseau lors d’une future mise à jour. Ceci empêchera les personnes malveillantes d’espionner l’écran d’un élève ou de se faire passer pour un enseignant.
Pendant que Netop travaille à résoudre ces problèmes à l’interne, les parents peuvent prendre quelques mesures essentielles pour protéger leurs enfants et favoriser leur participation dans leur salle de classe virtuelle. Prenez connaissance des conseils suivants afin que votre famille puisse utiliser des plateformes d’éducation tierces en toute tranquillité d’esprit :
1. Utilisez un appareil réservé spécifiquement à l’apprentissage à distance
Si votre enfant doit utiliser Netop Vision Pro ou tout autre logiciel tiers à des fins d’apprentissage à distance, assurez-vous qu’il utilise ce logiciel sur un appareil réservé exclusivement à des fins éducatives. De cette façon, si le logiciel contient des vecteurs de risque, ceux-ci n’affecteront pas les comptes que vous utilisez pour accéder à votre banque à ligne, pour lire vos courriels, pour le télétravail, etc.
2. Utilisez un logiciel de sécurité complet
Il est important de garder en tête que Netop Vision Pro n’a jamais été conçu pour être utilisé par l’entremise d’Internet ou à l’extérieur du réseau local d’une école. Il faut donc penser comme un pirate informatique : l’un d’eux essaiera sans doute de profiter de ces vulnérabilités pour introduire des fichiers malveillants (lors de cyberattaques pouvant causer des dommages) ou envoyer des courriels d’hameçonnage. Pour protéger vos enfants de ces menaces, utilisez une solution de sécurité complète comme McAfee® Total Protection. Celle-ci protège votre famille contre les plus récentes menaces et les tout derniers logiciels malveillants, et vous permet de naviguer sur Internet en toute sécurité.
3. Gardez un canal de communication ouvert avec l’école de votre enfant
Les éducateurs ont l’intérêt et la sécurité de leurs élèves à cœur. N’hésitez donc pas à discuter de vos inquiétudes concernant le logiciel utilisé pour l’apprentissage à distance avec l’enseignant ou le directeur d’école. Si votre enfant doit utiliser Netop, assurez-vous que l’enseignant ou le directeur d’école est au courant des vulnérabilités énumérées ci-dessus. Ils seront ainsi en mesure d’installer les mises à jour nécessaires pour protéger vos enfants et leurs camarades de classe.
4. Utilisez un couvercle de webcam
Poser un couvercle sur votre webcam lorsque vos enfants ne sont pas en classe constitue une façon simple et efficace d’empêcher les pirates d’espionner votre famille. Si vous apprenez à votre enfant à couvrir la caméra lorsqu’il ne l’utilise pas, vous aurez l’esprit beaucoup plus tranquille.
Restez à jour
Pour rester informé à propos de tout ce qui concerne McAfee et des dernières menaces visant le consommateur et la sécurité mobile, suivez @McAfee_Home sur Twitter, abonnez-vous à notre courriel, écoutez notre balado Hackable? et ajoutez la mention « J’aime » sur Facebook.
Restez à jour
Suivez-nous pour rester à jour sur tout ce qui concerne McAfee et pour être au courant des dernières menaces de sécurité pour les consommateurs et les mobiles.
