Cyberbaston 05/09/2012 à 09h31

Des sites du gouvernement piratables à cause d’une faille informatique

Martin Untersinger | Journaliste Rue89


Un Minitel (Groume/Flickr/CC)

La semaine dernière, n’importe quel indélicat doté de compétences moyennes en informatique aurait pu prendre le contrôle de plusieurs sites gouvernementaux.

C’est Le Canard enchaîné, dans son édition de ce mercredi, qui nous l’apprend. Selon ses informations, les sites du ministère de l’Economie, de la Fonction publique, du Redressement productif et de l’Emploi (entre autres) étaient ouverts aux quatre vents.

Une faille vieille de deux ans

La faute à une faille du logiciel utilisé pour construire et faire vivre ces sites – Drupal – qui permettait d’en prendre le contrôle total. Cette faille, que les services des ministères ont depuis corrigée, avait pourtant été découverte dès 2010 !

Cette défaillance a été répérée par un internaute qui ne semble pas avoir cherché à en profiter : il a averti un site spécialisé, qui en a référé à l’Anssi (Agence nationale de la sécurité des systèmes d’information).

Outre publier n’importe quel contenu sur les sites vulnérables, des individus mal intentionnés auraient pu également infecter et surveiller les visiteurs qui se rendaient sur les sites du gouvernement.

« Password »

Plus inquiétant encore qu’une faille non corrigée, Le Canard raconte qu’un des mots de passe utilisé pour accéder à l’interface d’administration était « password », soit « mot de passe » en anglais.

Ce n’est pas la première fois que l’Etat est pris pour cible sur Internet : on apprenait récemment que l’Elysée avait fait l’objet d’une double attaque au printemps. Le ministère de l’Economie avait également été visé par une attaque de grande ampleur.

  • 19278 visites
  • 56 réactions
TAGS
Vous devez être connecté pour commenter : or Inscription
  • Quand Le Tigre Lit
    Quand Le Tigre Lit
    en rédaction de Sutras du Tigre
    • Posté à 10h24 le 05/09/2012
    • Internaute 189949
      en rédaction de Sutras du Tigre

    Pas forcément étonnant, le coup du mot de passe. Si vous saviez l’imagination d’une personne dans ce domaine...

    Là où ça devient inquiétant, c’est quand des données très sensibles sur les citoyens sont accessibles.

    Ou pire, quand on pourra voter en ligne....Je vous renvoie sur cet excellent article.

  • Iv
    Iv
    Roboticien utopiste
    • Posté à 10h29 le 05/09/2012
    • Internaute 39192
      Roboticien utopiste

    Je suis très heureux qu’on fasse quelques articles sur le sujet, mais comme beaucoup d’organismes généralistes, rue89 semble avoir du mal à différencier le vol à l’étalage et le hold-up. Quelques infos complémentaires :

    - Les sites gouvernementaux ouverts à tout va, c’est pas nouveau. A la limite, la nouveauté de l’info c’est que l’anssi ait corrigé les failles avec diligence sans que l’on ait besoin de crier le problème sur les toits.

    - Drupal sert des sites web mais ce genre de sites va généralement être léger en infos confidentielles. Pouvoir changer le contenu d’une page gouvernementale, c’est à peu près aussi grave que de pouvoir taguer un message dans l’enceinte d’une mairie.

    - Quand on parle d’une compromission informatique dans un article, il est important de préciser sa gravité : est ce que des infos confidentielles étaient accessibles ? (et à ce moment là il y a une négligence grave de l’administration en question) Lesquelles ? Si ce n’est qu’une capacité de « defacing » qui était offerte, c’est un fait divers beaucoup moins grave.

    Imaginez vous de faire un article sur une altercation sans dire s’il y a eu des violences physiques, des blessés ou des morts ? Là c’est un peu pareil. On sait juste que « des individus mal intentionnés auraient pu également infecter et surveiller les visiteurs qui se rendaient sur les sites du gouvernement. » : c’est à dire ? Chopper des cartes bancaires ? Des pièces justificatives (qui peuvent servir à faire des faux papiers) ? S’il peut infecter des visiteur, est ce parce qu’il propose au téléchargement un binaire officiel (pratique détestable soit dit au passage) ?

  • Nain Glumeux
    Nain Glumeux
    Nalyseur de proximité.
    • Posté à 10h34 le 05/09/2012
    • Internaute 148099
      Nalyseur de proximité.

    Plus inquiétant encore qu’une faille non corrigée, « le Canard » raconte qu’un des mots de passe utilisé pour accéder à l’interface d’administration était « password », soit « mot de passe » en anglais.

    C’est vrai que pour l’interface admin, garder le mot de passe par défaut ça le fait moyen. Mais ça vaut bien « bonjour » ou « toto » recopiés sur un post-it accroché bien en vue sur l’écran de beaucoup d’utilisateurs.
    Des fois qu’ils l’oublieraient, leur mot de passe.

    Bon on peut en rire ou s’en indigner mais dans le cas cité le problème réside bien souvent en amont.
    Tout le monde le sait et les marketoïdes de l’industrie informatique le matraquent en permanence, avec les jolies interfaces à mickeys clignotants et les programmes d’installation à la portée du premier pousseur de cd venu, tout le monde peut administrer à peu près tout .
    Du serveur de messagerie à la base de données transactionnelle.

    Ce qui est un peu vrai tant que ça marche. Surtout tant que ça marche et qu’on ne s’éloigne pas de la configuration d’installation.
    En tout cas c’est suffisamment vrai pour les directions générales, dont Monsieur Nomoney notre bien aimé DAF qui tient très fermement les cordons de la bourse.

    Après, vous ajoutez par dessus tout ça le buzz-vocable « logiciel libre », que toute direction générale soucieuse de ne pas payer des fainéants caractériels au langage généralement incompréhensible des dites DG, traduit instantanément par : « logiciel libre de tout informaticien » .

    Et c’est ainsi que Georges Michu, un peu en surnombre au service des achats, s’est retrouvé administrateur à mi-temps d’un site web et que, terrifié il n’a touché surtout à rien de la configuration par défaut. Dans l’espoir (généralement fallacieux) que tout continue à tomber en marche sans qu’il ait un jour à comprendre comment fonctionne vraiment cette usine à gaz dont il a hérité contre son gré et dont il se méfie comme la peste.
    Perso j’éviterais de lui jeter la moindre pierre, sa hiérarchie par contre... goudrons et plumes.

    Et c’est ainsi qu’existent des sites ouverts aux grands vents de l’internet comme autant de maisons sans portes ni fenêtres.
    Sites qui font la joie des script-kiddies et autres haqueur-de-la-mort, qui les cassent d’une main en sirotant leurs céréales baignant dans le lait chocolaté et de l’autre en se grattant l’entrejambe.

  • Percy Schramm
    Percy Schramm répond à Quand Le Tigre Lit
    Reaktionär
    • Posté à 12h23 le 05/09/2012
    • Internaute 190966
      Reaktionär

    En matière de mots de passe, je me rappelle une connaissance qui militait dans une organisation anti-raciste et avait des responsabilités au niveau central. Il me racontait que ses amis de l’orga avait pratiquement tous des mots de passe à connotation raciste ou fasciste pour l’accès administrateur du site internet. C’était leur humour anti-raciste à eux...

Verbes thématiques
avoir faire prendre vivre profiter