De nombreux établissements d’enseignement et entreprises franchissent le pas vers des cours virtuels et ont recours, pour ce faire, à des Learning Management Systems (LMS). Les chercheurs de Check Point Research, la division Threat Intelligence de Check Point, ont notamment découvert des failles de sécurité dans trois modules (plug-in) WordPress très répandus, en l’occurrence LearnPress, LearnDash et LifterLMS. Des étudiants et des utilisateurs non authentifiés peuvent exploiter de telles brèches de sécurité pour dérober des informations personnelles, subtiliser de l’argent, voire même s’approprier les droits d’accès des enseignants et des formateurs.

Qu’est-ce qu’un Learning Management System?

On peut comparer un Learning Management System (LMS) – ou système de gestion de l’apprentissage – à un grand espace de stockage où il est possible d’enregistrer et de tenir à jour des informations éducatives. Il suffit d’un identifiant et d’un mot de passe pour avoir accès à ce matériel de cours, partout et à tout moment. Les logiciels LMS sont essentiellement utilisés pour des formations en-ligne. Généralement, les fichiers sont téléchargés vers le LMS, de quoi les rendre aisément accessibles à distance par les élèves. Etant donné que des millions d’individus travaillent désormais à partir de leur domicile à cause du coronavirus et se connectent de chez eux à ces cours, les établissements d’enseignement et les employeurs ont désormais également recours à un LMS pour créer des cours virtuels, pour partager des travaux et pour évaluer les étudiants à l’aide de questionnaires (du genre quiz).

Check Point a détecté des failles de sécurité dans LearnDash (notamment au niveau des fonctionnalités de vente de cours et du système de récompense), dans LifterLMS (entre autres pour l’octroi de certificats) et dans LearnPress (notamment pour la création de cours). Wordfence, lui aussi, a récemment découvert une vulnérabilité dans LearnPress.

Chacun de ces modules peut transformer n’importe quel site Internet créé en WordPress en un LMS convivial et pleinement fonctionnel. Les trois modules sont utilisés par la plupart des sociétés du palmarès Fortune 500, par quelques-unes des principales universités dans le monde et sont par ailleurs installés sur quelque 100.000 plates-formes d’enseignement.

Modification des scores, falsification des certificats/diplômes

S’ils devaient exploiter ces failles de sécurité, des étudiants mais également des cyber-criminels pourraient prendre le contrôle de la totalité de la plate-forme d’apprentissage à distance. Ce qui, spécifiquement, peut conduire aux situations suivantes :

vol d’informations personnelles (courriels, noms d’utilisateurs et mots de passe)

détournement de frais d’inscription d’un LMS vers leurs propres comptes bancaires

modification des évaluations et des chiffres (pour eux-mêmes mais aussi pour des tiers)

falsification de certificats et de diplômes

espionnage de réponses d’exercices et de tests

surclassement de leurs propres privilèges d’accès pour opérer comme “enseignant”

« A cause du coronavirus, nous faisons tout à partir de notre domicile, en ce compris nous former. Les étudiants et les travailleurs qui se connectent à des sites d’apprentissage en-ligne n’ont sans doute pas conscience de l’importance que cela peut avoir », souligne Omri Herscovici, responsable de l’équipe de recherche Vulnérabilités chez Check Point. « Nous avons démontré que des pirates peuvent aisément usurper le contrôle de la totalité d’une plate-forme d’apprentissage en-ligne. Les établissements d’enseignement mais également les sites de formation en-ligne se tournent vers ces systèmes pour prodiguer la totalité de leurs cours et de leurs programmes de formation en-ligne. Nous insistons dès lors auprès de tous les établissements d’enseignement pour qu’ils mettent à jour toutes les plates-formes d’apprentissage en installant la dernière version en date. Elle comporte les correctifs nécessaires pour colmater la brèche de sécurité. »

Publication coordonnée

Les vulnérabilités ont été détectées sur une période de deux semaines dans le courant du mois de mars 2020. Selon la procédure habituelle, les chercheurs de Check Point ont alors signalé chaque vulnérabilité, dans chacune des plates-formes concernées, à leurs développeurs respectifs. Entre-temps, tous trois ont publié un correctif afin de colmater les brèches (CVE-2020-6008, CVE-2020-6009, CVE-2020-6010 et CVE-2020-6011).