Dans un article intitulé « Le scandale des sites gouvernementaux qui se négligent », trois blogueurs ont voulu vérifier si l’État applique à son parc de sites internet les mêmes exigences de sécurité qu’il souhaite voir adopter, sous peine de punition, par ses concitoyens. Édifiant.
Sur le site http://interactif.service-public.fr, une splendide Local File Inclusion (voir article). En formatant une URL d´une certaine manière, les blogueurs auraient pu obtenir le mot de passe de la base de données… |
En application de la loi Hadopi, « à ce jour, nous pourrions très bien faire déconnecter ou bloquer un site gouvernemental en y uploadant quelques mp3 et quelques divx… comme ça, juste pour rigoler ». Olivier Laurelli (bluetouff), Paul da Silva et Paul Rascagneres (RootBSD) ont en effet découvert avec surprise que le gouvernement, qui, avec la loi Hadopi, instaure le délit de négligence caractérisée, n’était pas mieux logé que les autres – bien au contraire.
Le délit de négligence caractérisée vise à punir celui qui, par manque de compétences techniques notamment, ne « sécurise » pas son accès à internet si celui-ci venait à être utilisé à des fins de piratage (au sens de contrefaçon). « Une belle hypocrisie, selon les blogueurs, quand on sait que le niveau technique requis pour sécuriser ce qui est en mesure de l’être par un abonné final est très élevé et que, même comme cela, il est toujours possible d’usurper l’identité d’un abonné pour le faire paraître coupable (avec cette fois un niveau de compétences très relatif). Si la multitude d’entreprises qui a travaillé sur ces différents sites n’est pas capable de sécuriser son travail alors qu’il s’agit de leur métier comment peut-on demander à la boulangère du coin, au maçon du centre ville ou à n’importe quel non-expert en le domaine de faire mieux ? »
Comment les blogueurs ont-ils procédé ?
Quelques minutes par site, des recherches de failles très basiques et à la portée de n’importe quel pirate en herbe. Occasionnellement des découvertes de documents dans des répertoires accessibles à tous et, si d’aventure ils venaient à tomber sur une faille un peu plus sérieuse (comme ce fut le cas), ils ont passé un peu plus de temps dessus pour essayer de la faire parler, « tout l’art étant de la faire parler sans l’exploiter afin de ne pas se rendre coupable d’intrusion. Le résultat est au delà de ce que l’on aurait pu imaginer ! » :
– Une vingtaine de XSS (Le Cross Site Scripting est une faille qui permet de faire exécuter un script initialement non prévu par le site) ;
– 2 LFI (La Local File Inclusion est une faille qui permet d’inclure un fichier présent sur le serveur dans la page en cours de visionnage. Ceci peut permettre par exemple de récupérer un fichier de configuration, des logs, certains fichiers confidentiels) ;
– Des dizaines de documents accessibles au public et qui ne devraient pas l’être (certains marqués « confidentiel ») ;
– Des authentifications défaillantes (ou inexistantes !) d’accès à des intranets ;
– Des accès aux zones d’administration comme s’il en pleuvait ; etc.
Certaines failles découvertes permettent même de prendre le contrôle du serveur si elles sont exploitées correctement.
Alors, interrogent les blogueurs, quelle légitimité a l’État de faire peser sur le particulier une « présomption de culpabilité et de lui interdire d’office tout droit à un procès équitable quand ce particulier est lui-même victime d’une exposition de ses données personnelles » ?
Renseignement pris auprès de l’Agence nationale de la sécurité des systèmes d’information (Anssi), le Centre d’expertise gouvernemental de réponse et de traitement des attaques informatiques (Certa, une sous-direction de l’Anssi) a alerté les responsables sécurité des sites ministériels concernés par cette enquête.
En formatant une URL d’une certaine manière, les blogueurs auraient pu obtenir le mot de passe de la base de données…