sécurité

sécurité

par Eugénie Priouler,
Nombre de réponses : 7

Bonjour,

Avec mes contrôles journaliers via les rapports/ journaux (action= modifier), je viens de relever l'anomalie suivante: un utilisateur ayant le rôle d'étudiant a changé le mot de passe de plusieurs utilisateurs /étudiants . Actions répétées le lendemain. J'ai suspendu les comptes des utilisateurs visés par ces actions de changement de mot passe. Comment est- ce possible? Par quel(s) chemins?

Sur les différentes lignes, il y a clairement le nom complet de l'utilisateur ainsi que celui de l'utilisateur touché, et la mention de leur ID respectif dans la colonne description, comme suit: par exemple The user with id '22' changed the password of the user with id '33'.

Quelqu'un d'entre vous a t-il rencontré ce problème?

Je vous remercie par avance vos réponses.

Cordialement,

Eugénie

Moyenne des évaluations  -
En réponse à Eugénie Priouler

Re: sécurité

par Jean-Gabriel DEPINOY,
Avatar Moodleurs particulièrement utiles
Bonjour Eugénie,
C'est étonnant et même inquiétant. As-tu identifié l'utilisateur ayant l'ID 22 ? Es-tu sûre que ce n'est pas un administrateur ?
Il me paraît peu probable que le problème vienne de Moodle. C'est une plateforme utilisée partout dans le monde et ce serait une très gave faille de sécurité. Or je n'ai jamais vu sur ce forum de problème similaire.
Il faudrait peut-être commencer par vérifier s'il y a eu des modifications du rôle étudiant (comme user:update, user:editprofile, enrol/self:manage, user:loginas, user:viewdetails qui ne doivent pas avoir de permissions pour les étudiants).
Sinon, peut-être essayer de se connecter sous ce nom (les administrateurs en ont la possibilité) pour voir si cet étudiant a la possibilité d'accéder aux profils des autres étudiants et de les modifier. Attention, quand un administrateur se connecte sous le nom d'un utilisateur, il n'a pas toujours exactement le même affichage ni les mêmes droits que si l'étudiant accédait lui-même à son compte.
Voila quelques pistes. Je ne suis pas un expert des permissions dans les rôles de la plateforme. D'autres Moodlers t'apporteront peut-être une meilleure réponse.
Après, si un utilisateur modifie les données d'un autre utilisateur c'est un manquement grave aux règles de bon usage de la plateforme. Peut-être qu'une discussion lui rappelant les bons usages et lui demandant comment il a procédé permettrait de comprendre la source du problème et d'éviter que celui-ci ne se reproduise...
Moyenne des évaluations  -
En réponse à Jean-Gabriel DEPINOY

Re: sécurité

par Eugénie Priouler,


Bonjour,

Et merci de me répondre.

Il s'agit bien d'un utilisateur et non de admin. Il est indiqué the user with the ID.... changed the password to the user with the ID ???.

L'utilisateur auteur de l'action  est clairement identifié.

J'ai vérifié au niveau des permissions des rôles utilisateur authentifié et étudiant il n'y a pas d'autorisations impactant la sécurité.

Je ne comprends pas comment ces actions ont pu se dérouler.

Cordialement,

Eugénie

Moyenne des évaluations  -
En réponse à Eugénie Priouler

Re: sécurité

par Bruno Malaval,
Avatar Moodleurs particulièrement utiles

Bonjour,

Comme l'indique Jean-Gabriel, il faudrait essayer de se connecter sous le nom de cet utilisateur et tester le changement de mot de passe.
Il faudrait également regarder les permissions système de cet utilisateur :
"Administration du site / Utilisateurs / Vérifier les permissions système"

Autre point à voir, les logs du serveur Apache.
Vous devez avoir les éléments date / heure / adresse IP dans les journaux Moodle sur cette opération de changement de mot de passe.
A partir de là, et selon le niveau de log, vous pourriez trouver des éléments concernant les URLs appelées.

Bruno

Moyenne des évaluations  -
En réponse à Eugénie Priouler

Re: sécurité

par Patrick Lemaire,
Avatar Développeurs de plugins Avatar Documentation writers Avatar Moodleurs particulièrement utiles Avatar Testeurs Avatar Traducteurs

Bonjour Eugénie,

Pourrait-on avoir un extrait de ce journal en prenant soin de masquer les éventuelles données nominatives ?

Est-ce que dans la colonne 'Origine' sur ces événements, il serait inscrit 'cli', par hasard ? Si tel est la cas, il peut s'agir d'une action effectuée par la plateforme en lieu et place d'un individu. J'ai déjà lu des choses incohérentes d'un point de vue logique et consigné de la sorte.

À bientôt,
Patrick

Moyenne des évaluations  -
En réponse à Patrick Lemaire

Re: sécurité

par Patrick Lemaire,
Avatar Développeurs de plugins Avatar Documentation writers Avatar Moodleurs particulièrement utiles Avatar Testeurs Avatar Traducteurs
Je viens de tester sur plusieurs de mes plateformes et je ne rencontre pas d'événement "atypique". Pour faciliter mes recherches, j'ai fait une requête dans la base de données :
SELECT * FROM `mdl_logstore_standard_log` where 
eventname like '%user_password_updated%' 
and userid != '0' 
and userid <> contextinstanceid 
and userid not in (X,Y,Z)
Ici, pour éviter d'avoir les utilisateurs qui ont un rôle Admin, j'ai filtré avec leurs IDs, substitués dans mon exemple par X,Y,Z.
Effectivement, lorsqu'un utilisateur change lui-même son mot de passe, c'est l'utilisateur zéro qui opère dans le contexte Système.

C'est donc assez suspicieux... en effet. À surveiller 🤔
Attention à ne pas crier au loup trop vite ! 😉
Moyenne des évaluations  -
En réponse à Patrick Lemaire

Re: sécurité

par Eugénie Priouler,

Patrick, Bonjour,

Merci pour votre retour. Je réponds tardivement. Mais oui effectivement, on lit bien la mention "cli".

Cordialement,

Eugénie

Moyenne des évaluations  -
En réponse à Eugénie Priouler

Re: sécurité

par Patrick Lemaire,
Avatar Développeurs de plugins Avatar Documentation writers Avatar Moodleurs particulièrement utiles Avatar Testeurs Avatar Traducteurs
Dans ce cas, comme indiqué précédemment, l'action est effectuée depuis un script en lieu et place de l'utilisateur lui-même (une tâche programmée sans doute). C'est nettement moins inquiétant.

Patrick
Moyenne des évaluations  -