Un jeune pouvait modifier les notes de n’importe quel élève sur le portail d’examens indien

Pendant une grande partie de la saison des examens, le site où sont corrigées les épreuves les plus importantes d’Inde a semblé faire confiance à presque quiconque savait le solliciter de la bonne manière. Un chercheur en sécurité autodidacte affirme avoir pu se connecter au portail de correction comme n’importe quel examinateur, ouvrir les tableaux de bord où les copies sont relues, réinitialiser les mots de passe d’autres correcteurs et changer les notes attachées aux copies des élèves. Le portail appartient au Central Board of Secondary Education, l’organisme dont les résultats de la Classe 12 décident des universités auxquelles des millions d’adolescents indiens peuvent accéder.

Ces notes ne sont pas une affaire privée entre un élève et son professeur. En Inde, elles sont la monnaie de l’admission, et un seul point d’écart peut faire passer un candidat d’une filière à une autre, ou l’exclure de l’université. Un système qui permet à un inconnu de les modifier en silence n’est pas un défaut cosmétique. Il touche à l’équité de l’examen lui-même, la seule partie du processus à laquelle on dit aux élèves qu’ils peuvent se fier.

Le plus frappant des problèmes décrits est d’une simplicité presque gênante. Un mot de passe maître était inscrit directement dans le code que le navigateur de chaque visiteur télécharge pour afficher le site. Quiconque ouvrait ce code et le lisait pouvait s’en servir pour passer outre les codes à usage unique censés protéger chaque compte. En langage courant, cela revient à imprimer le passe-partout sur le paillasson en espérant que personne ne regarde par terre.

Les autres failles aggravent la première. Le site, dit-il, demandait au navigateur du visiteur de confirmer son identité au lieu de la vérifier sur ses serveurs. Des pages réservées aux correcteurs connectés s’atteignaient en tapant directement leur adresse. Une demande de changement de mot de passe n’exigeait pas de connaître l’ancien. Ensemble, elles signifiaient que le site croyait chaque utilisateur sur parole quant à son identité, l’erreur cardinale de la sécurité web, car tout ce qui s’exécute dans un navigateur peut être réécrit par la personne qui l’utilise.

C’est l’échelle qui rend ces constats difficiles à balayer. L’organisme fédère plus de 28 000 écoles en Inde et d’autres à l’étranger, et les examens de Classe 12 qu’il administre sont passés chaque année par des millions d’élèves. Le logiciel de correction a été développé par un prestataire extérieur dont la plateforme sert aussi à d’autres conseils d’examen, de sorte que les questions soulevées dépassent une seule organisation.

Tout cela a éclaté au milieu d’une période de résultats déjà tendue. Les élèves se plaignaient publiquement de notes qui semblaient fausses, de copies scannées arrivant floues et d’un portail qui s’effondrait sous la charge. Dans ce contexte, l’idée que le même système pouvait s’ouvrir avec un mot de passe tiré de son propre code a transformé un grief de maintenance en une question d’intégrité.

L’organisme rejette entièrement ce récit. Dans des déclarations publiques, le Central Board of Secondary Education a soutenu que l’adresse circulant en ligne n’était pas le véritable portail d’évaluation et que le système utilisé pour corriger les copies n’avait été ni compromis ni laissé vulnérable. Le chercheur a répondu par des copies archivées du code du site, un enregistrement d’écran montrant le mot de passe maître à l’œuvre et des preuves que ce même mot de passe ouvrait plusieurs adresses apparentées de la même plateforme, autant d’éléments difficiles à concilier avec l’idée d’un environnement de test inoffensif. Rien de tout cela ne prouve qu’un résultat ait réellement été modifié, et aucune note trafiquée n’a été documentée. Le débat porte sur ce qui aurait pu se produire, et sur le temps pendant lequel la porte est restée ouverte.

De l’extérieur, toutes les affirmations ne peuvent être vérifiées de façon indépendante, et la lecture la plus prudente traite le récit du chercheur comme une accusation sérieuse et bien étayée plutôt que comme un fait établi. Ce qui n’est pas en cause, c’est que les constats techniques ont été déposés auprès de l’équipe nationale d’urgence informatique de l’Inde et qu’une organisation de défense des droits numériques a depuis écrit au ministère de l’Éducation et à cette même agence pour réclamer un audit indépendant du portail et un état clair de ceux qui y avaient accès.

Le site est indien, mais la leçon ne l’est pas. Conseils d’examen, autorités de certification et services publics de presque tous les marchés tournent désormais sur le même type d’applications web monopages, et le raccourci qui a causé le problème ici, laisser le code du navigateur décider qui entre, est de ceux que des développeurs cèdent partout. Le détail gênant est que les failles décrites n’ont rien d’exotique. Ce sont de celles qu’une équipe compétente refermerait en une après-midi, ce qui rend leur présence dans un système national d’examens si difficile à expliquer.

Le chercheur affirme avoir signalé les problèmes pour la première fois à l’agence d’urgence informatique de l’Inde fin février et n’avoir reçu aucune réponse de fond pendant trois mois, une période qui a englobé la publication des résultats de Classe 12 de cette année. Il a publié le récit complet sur son blog le 22 mai, après avoir conclu que ses alertes avaient été ignorées, puis a signalé quelques jours plus tard une autre faille dans la base de données avant que le portail ne soit retiré. Reste à savoir si le ministère de l’Éducation ordonnera l’examen indépendant aujourd’hui réclamé, et si les autres clients du prestataire vérifieront leurs propres systèmes : c’est la part de l’histoire encore à écrire.