Après l’accident plutôt embarrassant d’Abi en Rhénanie du Nord-Westphalie la semaine dernière, le ministère de l’Éducation et de l’Éducation tente de dénoncer une violation de données.

Après l’échec scolaire presque historique et embarrassant en Rhénanie du Nord-Westphalie, qui a touché des dizaines de milliers d’élèves, le ministère responsable de l’éducation a maintenant commenté une faille de sécurité dans l’informatique.

Cependant, l’étendue complète de la violation de données n’est pas présentée fidèlement dans la déclaration. On ne sait pas actuellement si cela s’est produit intentionnellement ou en raison de l’ignorance ou même de l’incompétence du service informatique responsable.

Après la panne d’Abi en NRW : violation de données avec noms d’utilisateur, adresses e-mail et informations sur les emplois

Après l’allégation de communication et d’échec administratif par le ministère de l’Éducation de NRW dans l’accident d’Abi de la semaine dernière, un autre échec de l’administration scolaire est en train d’émerger. Parce qu’en même temps que le problème de téléchargement, un grave problème de données est devenu connu.

Il s’est avéré que l’échec du téléchargement des examens Abitur n’était que la pointe de l’iceberg. Car un serveur accessible à tous révélait bien plus.

La chercheuse en sécurité Lilith Wittmann a découvert une faille de sécurité dans un serveur de QUA-LiS NRW. Selon cela, environ 16 000 noms d’utilisateurs, adresses e-mail et informations sur les emplois ont été affectés. Dans le communiqué publié par le ministère des Ecoles et de l’Education, cependant, certaines choses ne vont pas ensemble.

Le ministère des Écoles et de l’Éducation du Land de Rhénanie du Nord-Westphalie minimise le manque de sécurité

Les premières « erreurs » dans la présentation des événements sont déjà évidentes dans le deuxième paragraphe de la déclaration. Le ministère des Écoles et de l’Éducation annonce :

En fin de semaine dernière, le QUA-LiS NRW par les autorités responsables de la sécurité informatique a découvert une vulnérabilité informatique qui doit être considérée séparément de l’Abitur central. Les écoles ont la possibilité d’essayer des fonctions de téléchargement tout au long de l’année via un serveur de test afin de tester la fonctionnalité du matériel et des logiciels de l’école notamment avec des documents de test. Les enseignants peuvent y accéder à tout moment. A cet effet, les utilisateurs reçoivent le même nom d’utilisateur et mot de passe.

ministère scolaire.nrw

Le fait que la faille de sécurité après la panne d’Abi en NRW ait été identifiée « par les autorités responsables de la sécurité informatique » n’est que le début de nombreuses fausses déclarations.

Malheureusement, la déclaration ultérieure du ministère ne correspond pas non plus aux faits : «Ce système a permis 500 données utilisateur lire une autre plate-forme de travail interne de QUA-LiS NRW – par exemple le nom d’utilisateur et l’adresse e-mail. Cette possibilité d’accès a été bloquée dès qu’elle a été connue jeudi dernier. Entre-temps, les utilisateurs ont été informés en conséquence et invités à modifier leurs mots de passe par mesure de précaution..« 

Lilith Wittmann confirme que ces affirmations ne sont pas correctes, et s’exprime sur Twitter: « Ceux-là étaient plus de 500 – à savoir l’intégralité de votre Active Directory – >16000 utilisateurs avec noms, e-mails et emplois – et cela a ouvert d’autres vulnérabilités intéressantes. Par exemple, les prises de contrôle de compte à partir d’adresses e-mail dont les domaines n’existaient plus.« 

Indépendamment de l’ignorance ou de l’incompétence des autorités compétentes, le ministère des Écoles et de l’Éducation ne semble pas être au courant de l’étendue réelle du déficit de sécurité après la panne d’Abi en NRW.

L’incident de remise des diplômes en NRW n’est pas assez embarrassant

Malheureusement, il est une fois de plus évident que la sécurité informatique et la protection des données en sont encore à leurs balbutiements dans ce pays. Et comme si l’accident d’Abi en NRW n’était pas assez embarrassant. Aujourd’hui, Internet se moque également de la compétence apparemment insuffisante des experts informatiques responsables – et à juste titre.

La ministre de l’Éducation, Dorothee Feller, exige maintenant une analyse détaillée de l’incident. Mais il y a aussi des choses positives à signaler. Depuis l’échec de fin d’études en Rhénanie du Nord-Westphalie mardi dernier, au moins tous les processus de téléchargement liés à l’examen de fin d’études ont à nouveau fonctionné normalement.