Les cordonniers sont toujours les moins bien chaussés. Avec la loi Hadopi, le gouvernement a créé la contrefaçon de négligence caractérisée, qui condamne le fait de ne pas avoir sécurisé son accès à Internet, ou de ne pas l’avoir fait avec suffisamment de sérieux (de « diligence », comme le dit la loi). Mais en matière de sécurité, les sites du gouvernement sont eux-mêmes très critiquables, comme l’ont démontré Paul Da Silva, Paul Rascagnères et Bluetouff dans une enquête menée ensemble. Ils ont vérifié si les sites édités par l’Etat comportaient des failles de sécurité, et découvert que c’était très souvent le cas :
Le résultat est au delà de ce que l’on aurait pu imaginer en lançant, le 29 août vers 23h, ce capture the flag d’une envergure sans précédent (3 gus dans un garage) qui se finira le 30 août aux alentours de la même heure… Nous avons décidé de patienter jusque là pour publier ce billet mais l’actualité nous a enfin convaincu à vous livrer les résultats de nos travaux nocturnes.
Comme dit précédemment nous nous sommes concentrés sur des failles simples à trouver ou à exploiter et la liste de celles découvertes est assez évocatrice :
* Une vingtaine de XSS ;
* 2 LFI ;
* Des dizaines de documents accessibles au publics et qui ne devraient pas l’être (certains marqués » confidentiel « ) ;
* Des authentifications défaillantes (ou inexistantes !) d’accès à des intranets ;
* Un grand nombre de fichiers robots.txt qui ont bien orienté nos recherches (merci :) ) ;
* Des accès aux zones d’administration / phpmyadmin comme s’il en pleuvait ;
* Des CMS non mis à jour depuis plusieurs années ! Et présentant des vulnérabilités bien connues ;
* Des logs d’envois de mails / newsletter / de connexion FTP / …
* Un site en debug qui laisse, si l’on saisit la bonne url, voir les identifiants et mot de passe de connexion à la base de données ;
* Un script SQL de génération de base de données.
Les trois complices n’ont pas publié la liste précise des sites concernés par les failles découvertes, pour des raisons à la fois éthiques et juridiques. Ils assurent même que dans certains cas, les administrations concernées ont été informées depuis longtemps de l’existence des failles, mais qu’elles n’ont pas donné suite aux alertes. « Tout indique que les entreprises en question (prestataires pour l’administration, ndlr) étaient bien au courant de certaines de ces vulnérabilités, en fait, elles en auraient même averti les administrations concernées qui ont semble t-il manqué de diligence à combler les trous. Nous tenons évidemment ces informations de la bouche de certains de ce prestataires, et nous croyons en leur bonne foi« , écrivent-ils.
Ils finissent pas une mise en demeure : « soit nous poursuivons une stupide course à l’armement que l’Etat ne peut gagner, soit les autorités, les hackers et les politiques se mettent autour d’une table pour entamer un dialogue sérieux et éclairé«
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !