Sale temps pour les “hacking conscious students”

Hors-cadre
Par · 28/01/2013

Le Dawson College de Montréal a suscité une belle polémique ces derniers temps, à l’occasion du renvoi d’un étudiant. Sa faute? Ahmed Al-Khabaz, étudiant en science informatique et par ailleurs élève doué, avait un jour détecté plusieurs failles de sécurité dans le système Omnivox, solution de portail étudiant implémenté par le Collège, et les avait signalées à la direction. Par la suite, il dit avoir voulu vérifier si des mesures correctrices avaient été prises, constatant qu’il n’en avait rien été. C’est cette vérification, prétend-il, qui lui a valu ce renvoi. Sanction doublée de l’obligation de rembourser les subventions qu’il avait reçues pour ses études.

Or, Ahmed Al-Khabaz n’avait en rien agi comme un hacker. Il avait bel et bien signalé les failles à la direction et avait même proposé d’aider Skytech Communications, auteur de la solution Omnivox, à corriger les défaillances qui risquaient de provoquer le vol des numéros d’assurance sociale d’une centaine de milliers d’étudiants (la solution Omnivox étant utilisée par plusieurs établissements universitaires canadiens).

Pour sa part, le collège argue que l’étudiant a “contrevenu au code de conduite” et “a tenté à plusieurs reprises de s’introduire dans des systèmes informatiques n’ayant aucun lien avec les renseignements personnels des étudiants.” L’établissement affirme qu’il a “remercié” l’étudiant sur le point précis des failles de sécurité touchant Omnivox et l’a même chargé avec deux autres étudiants d’étudier le problème. Toujours selon l’établissement, son renvoi est dû à une autre faute (tentative de hacking sur d’autres systèmes), jugée impardonnable: “Dawson College has a responsibility to instill the principles of proper conduct in the workplace so that employers hiring our graduates know that they are responsible citizens and qualified workers who understand how to behave in a professional environment.”

En dépit du recours intenté par l’étudiant, des démarches entamées par son avocat et, donc, de l’attention que la presse canadienne a accordé à l’affaire, le Collège ne semble pas vouloir revenir sur sa position ou sur sa décision. Par contre, la société conceptrice de la solution Omnivox a vu, là, une occasion de redorer son blason. Alors que, dans un premier temps, elle avait – officieusement, s’entend – fait pression sur Ahmed Al-Khabaz, le menaçant de poursuites, elle a fini par publier le message suivant sur son site Internet: “Nous jugeons que cet événement ne devrait pas faire en sorte que cet étudiant doué, qui a également contribué à trouver une faille de sécurité, soit privé de faire ce qu’il aime le plus.” Skytech dit par ailleurs avoir l’intention de lui proposer ”de travailler pour nous sur des mandats en sécurité informatique, afin qu’il puisse œuvrer dans le domaine qu’il aime.”

Que ceci ne donne pas (forcément) des idées à des hackers en herbe. Cette affaire pose toutefois des questions en termes de réactions de certains établissements d’enseignement qui auraient sans doute tout intérêt, pour des raisons purement éducatives, à revoir leur grille de décision lorsqu’il s’agit de relations avec les étudiants et d’accompagnement des compétences et potentiels de ces derniers. Après tout, c’est bien là leur rôle pédagogique et social…