Sunday, 18. February 2007, 20:04:00
Julie Amero est une professeur de français remplaçante de 40 ans. Elle a été amenée à remplacer un professeur dans un collège de
Norwich dans le Connecticut pour s'occuper d'une classe de 7ième grade (la cinquième française d'après
le système éducatif EtatsUnien)
Cette professeur risque jusqu'à 40 ans de prison pour avoir exposé ses élèves à des images pornographiques. Sa culpabilité semble loin d'être établie puisque les images en question seraient apparues sous la forme de popup. La possibilité que la machine utilisée soit infectée par un quelconque malware est donc loin d'être invraisemblable.
Son histoire a rapidement été reprise par tout un tas de sites traitant de sécurité informatique, notemment SecurityFocus qui nous offre
un article de 7 pages rassemblant différentes sources d'informations en plus du point de vue de l'auteur.
Les accusations portées sur
Amero manquent de clarté. Ainsi une fois elle est accusée d'avoir intentionnellement surfé sur des sites pornographiques et l'autre fois on lui reproche seulement de ne pas avoir correctement réagi face à l'apparition des popups.
L'analyse forensic a prouvé qu'elle avait la mauvaise habitude de surfer sur Internet pendant qu'elle donnait ses cours, notamment pour lire son courier sur AOL.
Le jour de l'incident, les sites
crayola.com et
hair-styles.org ont été visités. Le premier site est celui d'une compagnie fabriquant des crayons pastels sur lequel on peut trouver des jeux flash pour les enfants et le second est un site de coiffure...
Rien ne dit que ce n'est pas une élève qui ait visité ces sites Internet. Dans tous les cas la session a continuée et l'internaute s'est retrouvé sur new-hair-styles.com. Ce site regroupe des photos de coiffures et semble innofensif. Pourtant si on désire se rendre à l'index et que l'on clique sur la bannière du haut, on est redirigé sur
"sex.sweetmeet.ru" 
Ce pourrait être ce site qui soit à l'origine d'une éventuelle infection de la machine...
Dans tous les cas c'est durant le cours que différentes popups sont apparues.
Selon la défense, l'action se serait déroulée de cette façon : La professeur, intriguée par le comportement des élèves, serait allé voir l'écran d'ordinateur et aurait essayé de fermer les popups sans résultats. Paniquée, elle aurait quitté la classe pour demander de l'aide à des collègues au lieu d'éteindre simplement l'écran.
Dans l'affaire, un détective a été appelé pour étudier le disque dur. Dans
une interview il explique avoir étudié le cache et l'historique du navigateur ainsi que la base de registre de windows.
Cela lui aurait permis de retrouver par exemple les urls tappées par l'utilisatrice. En effet Internet Explorer garde ces urls dans la clé
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs.
La liste exhaustive des informations qu'a trouvé le détective sur le disque ne semble pas disponible sur le web. Dans tous les cas plusieurs élèments connus sont à prendre en compte :
- Selon lui Amero a dû obligatoirement cliquer sur un lien pornographique pour que les popups se déclenchent. Il explique notemment dans son interview qu'on ne peut pas se retrouver face à de tels contenus si on ne visite que des sites comme Disney.com
- D'un autre côté il avoue que le disque dur n'a pas été scanné à l'aide d'un antivirus qui aurait pû mettre en évidence la présence d'un malware
- La machine utilise un Windows 98 avec un Internet Explorer 5.
Les avocats de Julie Amero soutiennent la thèse de l'infection par un malware. Ils ont fait appel à un expert qui a lui aussi donné
une interview qui révèle que :
- Aucun firewall n'était installé sur la machine (mais on ne connaît pas la structure du réseau du collège)
- L'antivirus installé sur la machine n'était pas à jour
- L'utilisation d'un scanner d'adware (dans le style de Spybot S&D) a révélé la présence de 42 éléments indésirables (cela inclus les cookies publicitaires), certains étant présents bien avant l'arrivée de la professeur (qui au passage utilise le compte utilisateur du professeur qu'elle remplace)
- Différents accès à des sites d'"advertisement" ont été relevés
Ce qui énerve le plus les personnes ayant traité cette histoire c'est principalement l'absence d'utilisation d'un antivirus ou d'un anti-spyware par le détective.
Ensuite c'est son opinion sur la nécessité de vouloir accèder à un site pornographique pour provoquer l'affichage de popups avec des contenus de ce type.
Or on sait bien que les sociétés spécialisées dans les ADS n'ont pas toujours des règles bien définies sur le contenu qu'elles vont afficher. Ensuite de gros sites communautaires comme MySpace sont souvent à l'origine d'infections car des personnes y postent des contenus malicieux... Même en ne surfant que sur des sites qui se veulent propres, on risque toujours de chopper une saleté, en particulier sur une machine avec un antivirus pas mis à jour et un vieil Internet Explorer ^_^
La liste des urls tappées a très bien pû être falsifiée. Il existe quelques malwares qui ajoutent des entrées dans la clé de registre correspondante pour faire apparaître leurs sites dans la liste des urls visités.
Mme Amero a très bien pû recevoir un malware par le biais de son compte mail chez AOL. Les vulnérabilités sont nombreuses dans Word et Powerpoint et des fichiers sous ce format sont régulièrement échangés par les internautes (entre amis ou collègues de bureau...) Cela laisse un autre angle d'attaque.
Bien sûr il ne faut pas non plus supprimer l'hypothèse qu'elle ait pû intentionnellement provoquer l'affichage de ces popups. On a sans doute une vision idyllique des femmes professeurs... après tout qui n'a jamais été amoureux d'une de ses profs ? Qui n'a jamais eu une prof d'histoire canon, une prof de musique qui s'habillait court ou une jeune et mignone prof de cours du soir qui vous ferait presque regretter l'époque où vous étiez un cancre ? (toute ressemblance avec des personnages existants seraient bien entendu le pûr fruit du hazard
)
Il faut juste espèrer qu'une analyse plus approfondie du disque dûr sera effectuée avant que la sentence soit rendue le 2 mars prochain.
)
)
WIDGETIZE