Avec l'avènement de l'ère numérique, plusieurs universités mettent désormais l'accent sur leurs plateformes en ligne.
Bien que les pratiques puissent différer entre les universités publiques et privées, le paiement des frais de scolarité, l'inscription aux cours et la demande d'hébergement en auberge se font en ligne (dans une certaine mesure).
Pour la plupart des institutions privées, l'activité en ligne s'intensifie pour inclure l'apprentissage, la supervision de projets, des séminaires et des présentations.
Néanmoins, cela signifie que les informations sur les étudiants, les professeurs et le personnel administratif des universités privées et publiques sont désormais stockées en ligne.
Toutefois, Point technique peut confirmer que les sites Web et les bases de données de deux universités nigérianes - l'Université Ahmadu Bello (ABU), Zaria et l'Université du Bénin (UNIBEN), Benin City - et l'Université Mount Kenya, Thika, Kenya sont poreux, vulnérables et ont un besoin urgent d'attention.
En outre, ces données, qui incluent les listes d'admission, les détails d'inscription aux cours et les données personnelles des étudiants et du personnel, sont partagées dans certains forums de pirates informatiques exclusifs, laissant les étudiants, les professeurs et les administrateurs à la merci de cybercriminels inconnus.
Comment est-ce arrivé?
Il y a trois ans, un testeur d'intrusion pakistanais, Touseef Gul découvert des bogues (faiblesses ou vulnérabilités que les pirates peuvent exploiter) dans trois universités nigérianes - l'Université Nnamdi Azikiwe (UNIZIK); Université Ahmadu Bello, Zaria et Université de Salem - et Université Mount Kenya, une université privée à Thika, au Kenya.
Les chasseurs de bogues et les testeurs de pénétration sont des professionnels de la cybersécurité qui testent les failles que les pirates peuvent exploiter dans les sites Web ou les applications d'organisations réputées, et les signalent avec des idées sur la façon de les corriger, et empêchent toute intrusion ou abus avant qu'ils ne deviennent publics.
Soyez le plus intelligent de la pièce
Essayez-le, vous pouvez vous désinscrire à tout moment. Politique de confidentialité.
Selon Touseef, tout ce qu'il a fait était une recherche en surface sur le domaine principal de ces sites Web (URL), et il a pu trouver des bogues, sans avoir à approfondir leurs systèmes.
"Avec ABU, Zaria, par exemple, tout ce que j'avais à faire était de taper portal.abu.edu.ng sur mon navigateur avec quelques autres caractères, et j'ai découvert les bogues", explique-t-il.
Touseef a rapporté ses découvertes à ces universités en 2017, et les développeurs d'UNIZIK ont répondu en disant qu'ils ne pouvaient pas résoudre le problème en raison d'une crise dans cette région : c'était pendant les troubles dans le sud-est du Nigéria.
De manière encourageante, les développeurs de l'Université de Salem ont contacté Touseef et ont demandé des conseils sur la façon de corriger les bogues détectés.
Cependant, ABU, Zaria et Mount Kenya University n'ont pas répondu aux questions initiales, ni aux suivis quelques mois plus tard.
"Pour les universités au Nigeria, j'ai essayé de les approcher via les médias, mais j'ai été surpris que même les journalistes ne répondent pas. Certains d'entre eux ont demandé des détails (preuves) et je leur ai donné mais je n'ai jamais eu de réponse", raconte un surpris Touseef.
Et maintenant?
Dans l'espoir de trouver de bonnes nouvelles, après avoir reçu ce rapport il y a quelques jours, nous avons demandé à Touseef d'effectuer une autre vérification sur ces sites Web et avons constaté qu'UNIZIK avait corrigé le bogue qu'il avait trouvé il y a trois ans, tandis que Salem, qui avait un site Web personnalisé, avait migré vers un site WordPress relativement sécurisé.
Cependant, les vérifications révèlent que l'ABU et le Mont Kenya sont toujours vulnérables. De plus, après un test sur les domaines de l'Université de Lagos (UNILAG), de l'Université d'Ibadan (UI) et de l'Université du Bénin (UNIBEN), Touseef a découvert des logiciels malveillants dans UNIBEN.
Touseef a découvert la base de données d'ABU avec les dossiers d'environ 256,370 XNUMX étudiants. Considérant qu'il est peu probable d'avoir ce nombre d'étudiants actuellement, cela suggère qu'il est possible d'obtenir les dossiers des étudiants passés et actuels de l'université.
ABU Zaria a stocké les informations de connexion - noms d'utilisateur et mots de passe - de ces étudiants en texte brut et ils ont été facilement découverts par Touseef. D'autres points de données tels que les listes d'admission, les diplômés et d'autres fichiers administratifs.
Les dossiers des 211,373 XNUMX étudiants passés et présents de l'Université Mount Kenya, des listes d'admission aux informations sur les étudiants et les informations administratives, ont également été découverts. Comme le révèle Touseef, certains pirates ont partagé des données du mont Kenya sur divers forums, y compris les noms, adresses et numéros de téléphone, et on ne sait pas quelles autres plates-formes ont reçu les détails de la violation.
Google a détecté des logiciels malveillants dans le domaine d'UNIBEN et lors d'une tentative d'accès au site Web, vous pourriez rencontrer un avertissement comme celui-ci.
Ils ne semblent pas s'en soucier
"Un chercheur en sécurité m'a dit un jour que de nombreux pays d'Afrique ne se soucient pas de la cybersécurité ou de ce qu'il advient de leurs données en ligne", explique Touseef.
À en juger par les réponses jusqu'à présent, on pourrait dire la même chose des universités nigérianes, mais le problème semble être plus profond. Même les étudiants de ces universités ne semblent pas surpris.
"Comment peuvent-ils se soucier de la cybersécurité alors qu'ils ne se soucient même pas des activités en ligne en premier lieu ?" demande Efe*, fraîchement diplômée de l'UNIBEN.
"À l'école, mes professeurs nous ont dit de ne pas nous soucier des résultats que l'école publie en ligne. Nous ne faisions attention qu'à ce qui était sur le tableau d'affichage de notre département. Pendant ce temps, ce qui était en ligne et ce que le département enregistrait physiquement pouvait être différent." il explique.
Pour Amina*, également récemment diplômée de l'Université Ahmadu Bello, l'école, comme la plupart des bureaux publics, met davantage l'accent sur les documents physiques que sur tout ce qui est numérique. Elle explique qu'avant l'introduction de Remita, les frais de scolarité étaient principalement payés dans les banques.
"Nous n'enregistrons les cours qu'en ligne et postulons pour un hébergement en auberge. La plupart du temps, nous devons le faire hors ligne. Il est encore plus important de sécuriser l'auberge et d'enregistrer vos cours hors ligne qu'en ligne", explique Amina.
Que dit la loi
Selon la NDPR par Agence nationale de développement des technologies de l'information du Nigeria (NITDA), les questions importantes auxquelles une organisation doit répondre sont les mesures de sécurité prises pour prévenir une violation de données dans une organisation ?
Il y a également eu des rapports non confirmés d'étudiants exploitant les vulnérabilités de ces sites Web et manipulant le contenu du site Web pour obtenir des résultats à des examens sur ordinateur auxquels ils ne se sont jamais présentés, s'inscrire à des cours sans avoir à les payer et même s'inscrire sur la liste d'admission d'une école.
Il y a deux semaines, NITDA a commandé tous les offices publics passeront au numérique en 60 jours, malgré les défis évidents d'exécution, s'ils sont accomplis, les bureaux publics ne peuvent pas rester insouciants en matière de cybersécurité.
Astérisques (*) : pas de vrais noms
