Cash Investigation : Contrat Open Bar entre Microsoft et la Défense

Numerama a consacré un article sur le coût du stade de Nice mais n’a pas dit un mot sur le sujet dédié au contrat liant le ministère de la défense français à Microsoft, pourtant diffusé lors de la même émission.

Extrait de l’article NextInpact sur le sujet :

Sa signature s’était faite dans une curieuse ambiance puisque des documents internes avaient dégommé ce choix sans l’ombre d’une hésitation. Risque d’addiction aux technologies Microsoft, affaiblissement de l’industrie française et européenne du logiciel, vulnérabilité de l’approche mono-produit, etc. On pourra consulter un détail chronologique de ce curieux mariage sur le site de l’April)

Cash Investigation a justement interrogé l’un des rédacteurs de ces documents : « Je pense que la décision était prise avant même qu’on lance l’étude. Ce contrat, il y a des gens qui ont les fesses pas propres, ils savent et ils flippent. Si vous arrivez à appuyer au bon endroit, peut-être qu’il y a des têtes qui sauteront, mais en tout cas il y en a qui n’ont pas la conscience tranquille ». Selon un ancien ingénieur de l’armement, il y aurait bien un risque de dépendance à n’utiliser que les produits d’un seul éditeur. « On n’est plus maitre chez soi » a-t-il soutenu, avant de s’étonner que « le seul scénario déconseillé a été celui in fine retenu ».

Le sujet est visible sur pluzz pendant un mois (à partir de 42’20’’) :

Chronologie de la signature du contrat initial :
https://www.april.org/enquete-de-cash-investigation-sur-l-open-bar-microsoft-defense-le-18-octobre-2016

La démonstration de la pénétration à distance est grossière. Un mail contient un url en tempsreelnouvelsobs.ddns.net, ce qui devrait éveiller la suspicion immédiate. Encore faut-il un minimum de culture internet. Ce qui devrait être le cas depuis qu’on enseigne le numérique à l’école.

Oui, du bon vieux pishing + exploitation de faille connue et corrigée.

C’est juste histoire de montrer le principe.

Il n’empêche qu’il y a eut des précédents de piratage dans certains ministères avec des ficelles pas beaucoup plus fines que cela.

Y’a quelques années, je suis intervenu sur environ 2 000 postes dans une administration publique, avec un passage “manuel” obligatoire sur chaque poste.

Je travaillais pas au sein de cette structure, j’avais jamais vu 99% des gens, au départ, je me présentais et leur expliquait… ça prenait pas mal de temps, au fur et à mesure, c’est devenu juste un “bonjour, besoin de faire une mise à jour sur vitre ordinateur” de la part d’un parfait inconnu pour eux, il a fallu attendre une semaine pour tomber sur une personne qui a contacté le service informatique si c’était normal… Pendant tout ce temps, c’était accès libre, avec le sourire, bonjour, au revoir, un café ?

Il y a quelques années, ma boîte travaillait en prestataire pour le ministère des finances. Je devais aller faire une mise à jour. Comme mon correspondant (un sous-directeur) était en congés, il avait prévenu sa secrétaire qu’elle pouvait me communiquer son code et son mot de passe. Je suis resté 1/2 journée tout seul dans le bureau de ce sous-directeur, connecté au réseau à partir de son poste avec son login et son mot de passe. Et comme en plus, les tests concernaient des envois d’email, j’ai ouvert son logiciel de messagerie.

Maintenant, concernant le contrat Microsoft, on est souvent confronté à une décision : utiliser un logiciel standard qui fonctionne ou utiliser un truc exotique qui boitille. On peut quand même imaginer que les logiciels Microsoft sont utilisés derrière des firewalls qui analysent, voire filtrent les trafics entrants et sortants.

Ingénierie sociale la plus classique. Ça peut marcher aussi au téléphone.

Des agents de la DGSI animent des conférences de sensibilisation au risque d’espionnage dans les entreprises.

J’ai eu l’occasion d’assister à une de ces cessions.
L’exposé est très pédagogique, vivant, avec des démonstrations, et surtout en permanence illustré par des affaires réelles.

J’en suis ressortit complètement parano, est j’ai doublé la longueur du mdp de mon smartphone !

Mais pas sûr que ça ait un toujours un vrai impact.
C’est fou le nombre de personne qui laissent traîner leurs mots de passe à côté de leur poste de travail…

On a eut un aperçu avec la construction du Balardgone (nouveau ministère de la défense) : pc dans une salle à accès contrôlé, et imperméable aux ondes électromagnétiques, sur réseaux dédié et isolé.

Dans ces conditions, peu importe l’OS, personne n’y accédera à distance.

Parmi les classiques que je vois assez souvent:

• stoché sous le clavier
• post it sur l’écran
• dans le tiroir

J’ai même déjà vu des cas avec la feuille A4 accrochée derrière la porte ou sur le mur…

Actuellement, grande campagne chez nous pour obliger les gens à changer leur mot de passe (avec des merdes dans tous les sens car le mot de passe ne se propage pas forcément très bien sur les autres applis).
Le Chargé de Mission Sécurité envoie des rappels toutes les semaines aux gens qui n’ont pas changé. Ce dont il ne s’est pas rendu compte, c’est que pas mal de gens changent deux fois de mot de passe : ancien -> nouveau et dans la foulée nouveau -> ancien.
Cela suffit pour passer sous le radar de la détection de Monsieur Sécurité : il est content, les gens ont changé leur mot de passe.

Oui, ça c’est ma banque. Pour accéder à mes comptes, le login d’accès à mon compte, c’était une de mes adresses email. Pour des “raisons de sécurité”, le login est maintenant un numéro à 12 chiffres absolument impossible à retenir. Du coup, je l’ai inscrit sur un papier pas loin de mon ordi. Je n’ai pas indiqué que c’était le login pour la banque et je n’ai pas inscrit le mot de passe que la banque m’a autorisé à choisir moi-même.

Tant que t'es chez toi ça ne risque pas grand chose je trouve. Sur un post-it à côté du bureau ou dans le classeur "banque" dans le placard à côté c'est kif-kif.

J’ai fait la même chose, avec en plus une “rotation” des chiffres (non je suis pas parano :x )

Sur un ancien systeme "sécurisé, les critères des mots de passe (changé automatiquement tous les 2 mois) étaient tellement chiant, que le matin, c’était quasiment 1h pour que les gens en trouvent un…

Outre les classiques “minuscule majuscule nombre obligatoire”, longueur minimum, pas le droit identiques aux 4 derniers mots de passe, … et le plus chiant: un algo à la con qui interdisait les mots “similaires” (trop de lettres identiques par rapport aux précédants mots de passes, trop de lettres répétées dans le mot, etc…)

Et au final, les gens en essayaient des dizaines avant d’en avoir un de “validé”, et le notaient sur un papier à coté, car s’en rappelaient pas sinon…

Pour un changement de mot passe tous les mois, avec contrôle de similarité sur 10 mots de passe, j’ai utilisé les saints du calendrier, le jour du changement en rajoutant des chiffres. Comme ça je m’emmerde plus à chercher un nouveau mot de passe.

Sinon, ce que je trouve hallucinant, c’est que l’État accepte de participer à l’évasion fiscal de ses prestataires.
Excellent : Nous, on est commerciaux mais on ne signe pas de contrats.

Y'a uen qeustion de fond "interessante":

Une personne qui vend un produit qui n'est pas le sien, n'aurait elle pas de fait une relation spécifique avec ce "tiers" ? Ne serais pas l'intermédiaire qui de fait est "vendeur" ?

C'est comme si Auchan mettait en plus des caissieres sous une autre marque et se refusait le statu de "vendeur", car finalement le vendeur, c'est une marque tiers à distance payée via les caisses

Et hop, réponse de Jean-Yves le Drian à une question d'Isabelle Attard sur la part du logiciel libre au sein du ministère de La Défense et ses administrations traitée par NextInpact.

Pourquoi du Microsoft :

• « dynamique interministérielle de modernisation par la mise en place d'une logique d'achat économiquement plus performante »
• avoir « des systèmes d'information capables d'agir en interaction avec des systèmes alliés au titre des besoins opérationnels des armées »
• « optimiser la location et la tierce maintenance applicative des logiciels »

Bref, une fin de non-recevoir quoi

Bah les choix sont tout à logique, ils correspondent bien aux “besoins”.

Le “soucis”, c’est plus qu’on n’est pas forcement d’accord avec ces besoins.

Dans le cas de la défense, je place l’indépendance avant l’économie. C’est pas le cas de l’appel d’offre, qui estime l’intérêt économique plus important.

Cet intérêt économique pourrait également s’effectuer avec d’autres acteurs que Microsoft, comme par exemple des acteurs français, ce qui permettrait de faire d’une pierre deux coups.
Mais je suis d’accord avec toi

Quand je dis intérêt économique, c'est avec une vision "nombril" d'une administration: Mon budget, il va monter ou baisser ?

Un peu RAF de l'économie des autres boites, que ça soit nationale ou internationales.

C'est une vision "comptable" que personnellement je trouve très dommage pour ce genre de "secteur"

[edit]
Tiens des messages disparaissent

(sans vouloir entrer dans le hors-sujet, les bannissements suppriment visiblement les messages, ce qui casse un peu les discussions... Mais quand on voit la façon dont sont traités les articles pop-back, ça parait cohérent)

C’est plus qu’un ban “classique” ça. C’est une suppression totale.
C’était qui ?

moi même. Pour résumer mes messages perdus : je concluais que la réponse du ministère était une fin de non-recevoir, puis je répondais au premier message de @Chitzitoune que je trouvais dommage que ces besoins économiques ne concernent pas des acteurs français du domaine, afin de faire d’une pierre deux coups (d’où son second message)

C’est bien ce qui me semblait, mais comme tu continuais à poster, j’ai cru que j’avais la berlue.

Tu avais un autre compte avec le “0” à la place du premier “o”, c’est bien ça ?

Oui, Kintobor est banni, Kint0bor s'est fait visiblement détruire. Je donne pas cher de ce compte là, mais j'essaye quand même de continuer de discuter normalement en espérant que l'excès de zèle leur passe

ça m'étonnerait, même Guillaume s'est fait bannir.

Les messages ont été restaurés.

Merci pour la lisibilité de la discussion