Hamed a aidé.

Le 14 Novembre, 2012, le Collège Dawson à Montréal, Québec, Canada, a expulsé l’étudiant en informatique Hamed Al-Khabaz pour avoir découvert les faiblesses et les failles de sécurité du portail Skytech Omnivox, dédié aux étudiants. Si Hamed n’avait pas découvert ces failles, les données personnelles de millions d'étudiants du Québec, du personnel de collèges et d'universités, ainsi que d'anciens étudiants datant d'aussi loin que 1994 auraient continuées à être facilement exploitables.

Malgré l'insistance de Hamed à l'effet qu'il n'avait aucune intention criminelle, Dawson a rejeté son appel, lui a mis zéro dans tous ses cours et entaché son relevé de notes, ruinant ainsi son avenir académique. Pour aggraver les choses, la province de Québec lui a ordonné de rembourser les bourses qu'il a reçues pour la période 2012-2013 (année académique). Il a également été menacé de poursuites pénales et d'une peine d'emprisonnement.

Ce site existe pour dire à ceux qui sont en position de pouvoir que nous ne serons pas réduits au silence. Que l'intimidation, ainsi que la coercition, ne seront pas tolérées. La diffamation et la criminalisation de toute une génération de programmeurs, les pirates et les amateurs de web est un affront à la démocratie et aux libertés.

Hamed a aidé, aidons Hamed.

Pour suivre les mises à jour #HamedHelped, suivez Hamed, le Syndicat des étudiants et étudiantes du Collège Dawson, la vice-présidentes des affaires internes & pédagogiquesMorgan Crockett, l'employé à la permanance du DSU Mathieu Perronet le journaliste Ethan Cox.

Les faits

Beaucoup de gens ont demandé des informations supplémentaires sur les événements qui ont conduit à l'expulsion de Hamed. Ci-dessous nous avons fait de notre mieux pour vous fournir une vue d'ensemble.

21 septembre

Après avoir inspecté portail Omnivox de Dawson depuis l'extérieur, Hamed a présenti que leur système pourrait être vulnérable en cas de tentative d'intrusion. Il a décidé d'utiliser Acunetix pour gratter le portail des vulnérabilités. Il avait le choix de passer par un proxy anonyme et donc de ne jamais se laisser prendre, mais il ne l'a pas fait afin de montrer clairement que ce n'était pas une attaque mais un simple test.

22 septembre

Hamed reçoit un courriel de François Paradis, le Directeur des Systèmes d'Information Technology, l'informant que son compte a été suspendu pour avoir tenté d'obtenir un accès non autorisé à leurs systèmes. Hamed l'a immédiatement informé de son intention. Son compte a été réactivé. À aucun moment n'a il reçu une ordonnance de “cessation & et d'abstention” , ni une lettre officielle ou un premier avertissement écrit de M.. Paradis. Leurs échanges sont cordiaux et M.. Paradis souligne l'importance d'être prudent dans ses actions pour ne pas provoquer Skytech qui pourrait le poursuivre en justice. .

14 octobre

Hamed remarque une séquence de caractère dans l'url de son avatar Omnivox. Or cette séquence conduit à son numéro de carte d'étudiant. De là, il s'est rendu compte que les informations de qui que ce soit peut être consulté en reproduisant cette séquence. Il n'a utilisé aucun logiciel pour faire cette découverte, mais plutôt la logique déductive.

17 octobre

Hamed demande à rencontrer François Paradis, afin de faire quelques tests pour démontrer les potentielles vulnérabilités.

24 octobre

Hamed et ses collègues rencontrent François Paradis pour tester leur théorie au sujet de l'accès des données. Un serveur de test est configuré pour tester leur découvertes. Ils signent un Protocole de test de la vulnérabilité de Portail. Une partie de ce protocole stipule que les essais doivent se produire au Collège et ce sous la direction du personnel des Technologies de l'Information (TI) du collège Dawson.

26 octobre

Hamed est informé que Skytech a réparé les failles dans Omnivox et que le site est maintenant sécurisé. Curieux par cette réponse rapide, il se connecte au serveur de test que le Collège lui a fourni pour lancer une analyse Acrunetix. L'analyse ne montre aucune vulnérabilité mais Skytech est averti de cette utilisation et demande au Collège Dawson pour obtenir le nom du “coupable”. Le collège Dawson fourni le numéro d'Hamed et Skytech l'appelle à 21:00. Ils menacent d'appeler la GRC et avertissent qu'il risque un an de prison pour ses actes. Hamed explique qu'il faisait partie de l'équipe qui a trouvé la faille initiale et que son intention était simplement de s'assurer que les données ont été véritablement sécurisées. Ils lui demandent de fournir les failles qu'il à trouvé avant le 28 Octobre. Il le fait sous la condition qu'ils s'engagent à ne pas le poursuivre en justice et en retour il ne divulguera pas les informations qu'il a trouvé à qui que ce soit.

2 novembre

Hamed est invité à assister à une réunion le 6 Novembre pour parler de “ses graves problèmes de déontologie”. Seront présents le doyen et vice-doyen du secteur ainsi que le coordonnateur du programme.

6 novembre

La réunion d'examen de la situation de Hamed a lieu.

12 novembre

Le Département d'Informatique se réunit pour examiner la situation de Hamed. Un seul enseignant a pris l'initiative de parler directement avec lui. Ledit enseignant est le seul à voter contre son expulsion. Hamed n'est pas présent.

14 novembre

On demande à Hamed de rencontrer la Doyenne de sa section. Elle lui tend sa lettre d'expulsion invoquant une faute professionnelle. La sécurité est sur place pour immédiatement confisquer sa carte d'étudiant.

20 novembre

Hamed fait appel pour revoir la décision d'expulsion auprès du Doyen Académique.

27 novembre

Hamed rencontre le Doyen Académique pour présenter sa cause.

29 novembre

Le Doyen Académique rejette son appel et veille à ce que “la Doyenne du Secteur ne revienne pas sur ses paroles.”

30 novembre

Hamed rencontre le Directeur Général pour faire appel de son expulsion.

7 décembre

Le Directeur Général rejette son deuxième et dernier appel .

En somme,

• Hamed a échangé des courriels avec M.. Paradis où il a été exprimé que ses actions le 21 Septembre étaient irresponsables.
• Hamed n'a jamais reçu une ordonnance de "cesser & et renoncer".
• Hamed n'a jamais reçu un avertissement écrit officiel .
• Hamed a été remercié pour avoir détecté des vulnérabilités le 24 Octobre.
• Hamed a eu accès à un serveur de test le 24 Octobre.
• Hamed a été invité à utiliser uniquement le serveur de test quand il était à Dawson.
• Hamed était impatient de vérifier la mise à jour de sécurité Omnivox le 26 Octobre et a effectué des tests de son domicile.
• Hamed a immédiatement arrêté l'analyse du système lors de la réception d'un appel du chef de la direction de Skytech.
• Hamed n'a pas eu le droit de parler directement avec les membres de la faculté des sciences informatiques avant qu'ils votent sur la question de son expulsion.