Selon trois blogueurs associés pour l'occasion dans leurs recherches, plusieurs dizaines de sites de l'administration française seraient infestés de failles de sécurité, dont certaines permettent même l'accès aux bases de données ou aux serveurs. Ils dénoncent la "négligence caractérisée" du gouvernement, qui souhaite sanctionner les Français qui ne sécurisent pas leur propre accès à Internet.

Les cordonniers sont toujours les moins bien chaussés. Avec la loi Hadopi, le gouvernement a créé la contrefaçon de négligence caractérisée, qui condamne le fait de ne pas avoir sécurisé son accès à Internet, ou de ne pas l’avoir fait avec suffisamment de sérieux (de « diligence », comme le dit la loi). Mais en matière de sécurité, les sites du gouvernement sont eux-mêmes très critiquables, comme l’ont démontré Paul Da Silva, Paul Rascagnères et Bluetouff dans une enquête menée ensemble. Ils ont vérifié si les sites édités par l’Etat comportaient des failles de sécurité, et découvert que c’était très souvent le cas :

Le résultat est au delà de ce que l’on aurait pu imaginer en lançant, le 29 août vers 23h, ce capture the flag d’une envergure sans précédent (3 gus dans un garage) qui se finira le 30 août aux alentours de la même heure… Nous avons décidé de patienter jusque là pour publier ce billet mais l’actualité nous a enfin convaincu à vous livrer les résultats de nos travaux nocturnes.

Comme dit précédemment nous nous sommes concentrés sur des failles simples à trouver ou à exploiter et la liste de celles découvertes est assez évocatrice :

* Une vingtaine de XSS ;
* 2 LFI ;
* Des dizaines de documents accessibles au publics et qui ne devraient pas l’être (certains marqués  » confidentiel « ) ;
* Des authentifications défaillantes (ou inexistantes !) d’accès à des intranets ;
* Un grand nombre de fichiers robots.txt qui ont bien orienté nos recherches (merci :) ) ;
* Des accès aux zones d’administration / phpmyadmin comme s’il en pleuvait ;
* Des CMS non mis à jour depuis plusieurs années ! Et présentant des vulnérabilités bien connues ;
* Des logs d’envois de mails / newsletter / de connexion FTP / …
* Un site en debug qui laisse, si l’on saisit la bonne url, voir les identifiants et mot de passe de connexion à la base de données ;
* Un script SQL de génération de base de données.

Les trois complices n’ont pas publié la liste précise des sites concernés par les failles découvertes, pour des raisons à la fois éthiques et juridiques. Ils assurent même que dans certains cas, les administrations concernées ont été informées depuis longtemps de l’existence des failles, mais qu’elles n’ont pas donné suite aux alertes. « Tout indique que les entreprises en question (prestataires pour l’administration, ndlr) étaient bien au courant de certaines de ces vulnérabilités, en fait, elles en auraient même averti les administrations concernées qui ont semble t-il manqué de diligence à combler les trous. Nous tenons évidemment ces informations de la bouche de certains de ce prestataires, et nous croyons en leur bonne foi« , écrivent-ils.

Ils finissent pas une mise en demeure : « soit nous poursuivons une stupide course à l’armement que l’Etat ne peut gagner, soit les autorités, les hackers et les politiques se mettent autour d’une table pour entamer un dialogue sérieux et éclairé« 

Partager sur les réseaux sociaux

Articles liés