Failles critiques dans le portail de notation CBSE

Introduction

Le Central Board of Secondary Education (CBSE) est l'un des plus grands conseils d'éducation nationaux en Inde, gérant les examens de fin d'études secondaires pour des millions d'élèves chaque année. Pour améliorer le processus d'évaluation, le CBSE a mis en place un système de notation à l'écran (On-Screen Marking, OSM) pour les examens de fin d'études secondaires. Cependant, des failles critiques ont été découvertes dans le portail OSM, compromettant la sécurité et l'intégrité du processus d'évaluation.

Contexte Technique

Le portail OSM est une application Angular qui utilise une logique de frontend entièrement intégrée dans un fichier JavaScript minifié. Ce fichier est accessible publiquement et peut être téléchargé par n'importe qui. L'analyse de ce fichier a révélé plusieurs failles de sécurité, notamment un mot de passe maître codé en dur, une validation OTP entièrement effectuée sur le client, l'absence de gardes de route et la possibilité de modifier les mots de passe sans connaître l'ancien mot de passe.

Analyse et Implications

Ces failles de sécurité ont des implications graves pour la sécurité et l'intégrité du processus d'évaluation. Un attaquant peut utiliser le mot de passe maître pour accéder à n'importe quel compte d'évaluateur, modifier les notes et compromettre l'intégrité des évaluations. De plus, la validation OTP entièrement effectuée sur le client signifie que l'attaquant peut contourner la vérification OTP et accéder au système sans autorisation. L'absence de gardes de route et la possibilité de modifier les mots de passe sans connaître l'ancien mot de passe aggravent encore la situation.

Perspective

Il est essentiel que le CBSE prenne des mesures immédiates pour corriger ces failles de sécurité et garantir la sécurité et l'intégrité du processus d'évaluation. Cela inclut la mise à jour du système de notation à l'écran, la mise en place de mesures de sécurité robustes et la formation des évaluateurs sur les meilleures pratiques de sécurité. De plus, il est important de sensibiliser les élèves et les parents aux risques potentiels liés à la sécurité des données et de prendre des mesures pour protéger leurs informations personnelles.