Поделиться через


La perle du week-end

Depuis que nos politiques s’intéressent à l’informatique et à l’internet, le spectacle est plutôt amusant. Mais lorsque la politique rejoint l’éducation, là, on rigole franchement. Voici donc ce que j’ai découvert aujourd’hui... Je n’en reviens toujours pas.

Dans ma lointaine banlieue, des élèves de Seconde ont reçu dans leur lycée un cadeau de la région Île de France, sous la forme d’une magnifique boîte métallique à leur logo abritant une clé USB de 2 Go et un porte-clés, accompagnés de cette carte :

Carte accompagnant la clé USB de la région

Cette clé, éditée par la société Mostick, est un “bureau mobile” : elle contient des applications en versions “portables”, exécutables sur place sans installation et sans laisser de trace sur le PC. Principe intéressant : l’utilisateur a ses applications et ses données dans sa poche, et peut y accéder sur tout PC.

Mais la dernière phrase de la carte laisse songeur : “Si vous utilisez VISTA, AUTORISEZ l’exécution des programmes”. On peut craindre le pire, et en effet, un rapide test le démontre :

Le programme start.exe dans la racine de la clé nécessite les privilèges d’administrateur :

Fichier start.exe avec bouclier indiquant qu'il nécessite une élévation de privilèges.

Ce programme n’est pas signé : on doit autoriser un programme d’origine inconnue à s’exécuter avec tous les droits sur le système.

Tous les programmes qui seront à leur tour exécutés par start.exe hériteront du même contexte, donc des mêmes privilèges.

Mais ils ne s’arrêtent pas là, puisqu’ils incluent une version vulnérable de Firefox, la version 3.5.1.

Firefox avec privilèges d'administrateur

Au final, nous avons affaire à un système qui nécessite que les adolescents aillent sur Internet avec tous les privilèges d’administrateur et des applications vulnérables... Bravo ! Je suppose que les auteurs exécutent Firefox 3.5.1 en tant que root sous Linux.

La société Mostick écrit dans son petit texte de présentation, qui ne manque pas d’humour : “un contenu socialement responsable issu de l’informatique éthique”. Puis “des logiciels stables, compatibles, ergonomiques et sécures”. J’en reste coi.