Journal d'investigation en ligne et d'information‑hacking
Dossier
par Antoine Champagne - kitetoa

StopCovid : les boites qui vont travailler dessus sont au top

La sécurité informatique, la protection des données au coeur des préoccupations - Ou pas...

Voici une compilation en article de quelques tweets amusés, postés par l'auteur, sur le choix des entreprises qui vont travailler sur l'application StopCovid. Niveau notions de base en sécurité informatique, ce n'est pas exactement ce qui se fait de mieux...

Dessin de maternelle (voir la chute de l'article) - D.R.

L'INRIA a publié il y a quelques jours une liste de sociétés qui vont participer au projet d'application StopCovid de contact tracing. Pour ceux qui ont la mémoire des projets pharaoniques (Pensez Louvois le logiciel de paie des arméees ou SAIP l'applicartion d'alerte en cas d'attentat, ou encore, le "cloud souverain") se transformant peu à peu en échecs catastrophiques, toutes les conditions sont réunies. D'énormes SSII alliées à des dizaines d'autres intervenants qu'il va falloir ménager, des réunions sans fin en perspective, des sommes colossales engagées sur un projet franco-français qui ne tient compte de rien sur son environnement (on se contrefout des limitations techniques côté Apple et Google par exemple), application de la méthode La RACHE, bref, on court à la cata.

On ne s'attardera pas trop longtemps, mais tout de même, sur le fait que plusieurs chercheurs de l'INRIA ont signé une tribune contre le développement d'applications comme StopCovid, connaissant trop bien les risques... On trouve dans les signataires des chercheurs de l'INRIA Grand Nancy où se trouve le groupe de recherche Orpailleurs, dont nous parlions dans cet article. On ne se gaussera pas non plus du fait que Dassault, retenu pour son savoir faire en matière de Cloud super souverain hyper sécurisé n'est pas listé par l'ANSSI dans les prestataires qualifié pour le Cloud. On ne rigolera pas en voyant dans le groupe Withings, énorme consommateur de données personnelles pour son business...

Mais revenons à la publication par l'INRIA de la liste. Cela a généré un peu de curiosité et nous sommes allés regarder les sites des sociétés citées.

La liste - Copie d'écran
La liste - Copie d'écran

Premier dans la liste STIM, premier servi. Le site des experts "Innovation - time do deliver" a un souci avec le fichier htaccess, la protection contre le listage des contenus des répertoires.

Transparence - Copie d'écran
Transparence - Copie d'écran

Petite digression pour les non geeks et pour les gros geeks en mode "saypagrav, sayjustedesjpeg"...

Comme le faisait remarquer un utilisateur de Twitter, il s'agit là d'un vieux truc des années pré-2000. Le site Kitetoa.com est plein à craquer de défauts de sécurisation de base reposant sur ce problème. Avec parfois des conséquences vraiment problématiques. Comme quand Atos laissait un accès aux logins et mots de passe de la première banque en ligne française sur Internet.

Minute vulgarisation d'un truc simple : dans un serveur Web, les fichiers (pages, documents, images, etc.) sont rangés un peu comme dans votre disque dur. Il y a la racine (sur votre PC c'est C:/, sur votre Linux, c'est / et sur votre Mac... heu... Bref...). Dans la racine de votre disque dur, vous créez des dossiers pour y ranger vos documents. Sur un site Web, c'est pareil. la page d'accueil est à la racine et ensuite, les documents sont rangés dans des dossiers (bon, ok, ça un peu changé, de nos jours, il y a des bases de données en plus mais c'est le principe qui compte pour la vulgarisation du jour).

Bref, si vous prenez une adresse Web du genre :

http://www.lesite.com/img/2020/04/image.jpg

Il faut lire : L'image "image.jpg" est rangée dans un répertoire "04", lui-même rangé dans un répertoire "2020", lui-même rangé dans un répertoire "img", lui-même situé à la racine du site.

Pour éviter que tout le monde puisse consulter le contenu de chaque répertoire, il existe des méthodes. L'une d'elle consiste à utiliser correctement le fichier htaccess, qui comme son nom l'indique s'occupe de gérer les accès aux répertoires (qui peut voir, et faire quoi).

Dans les cas qui vont nous occuper, les administrateurs des sites ne savent pas trop ce qu'est ce fichier htaccess et ont des notions de sécurité Web un peu relatives.

C'est grave docteur ?

Pas forcément. Tout dépend de ce qui se trouve dans les dossiers. Si quelqu'un dans la boite décide un jour d'y stocker des trucs confidentiels ou des données personnelles, il y a des chances pour que Google finisse par les indexer, pour que des gens comme nous y aient accès... Dans tous les cas, il est certain que la confidentialité des données n'est plus assurée.

Naaannnn, mais ça n'arrive pas et vous imaginez le pire alors que...

Alors que voilà un exemple pour bien comprendre.

Ton godemichet à poil sur le Net

Dans les années 2000, une série d'articles apparait en même temps dans les journaux féminins avec la même thématique : le sextoy, c'est chic. Pourquoi ? Simple. Quelques temps auparavant, un épisode de la série "Sex And The City" fait apparaître un sextoy sur la table de nuit de l'une des héroïnes. Les boites de relations presse des nouveaux venus sur Internet, les sex-shops en ligne, s'engouffrent. Pluie de communiqués de presse sur les journalistes des féminins. Désormais on peut acheter anonymement son sextoy sans avoir à se déplacer dans un sexshop glauque. Venez l'acheter sur le Net, c'est cool.

Oui, sauf que si les données personnelles des acheteurs sont mal stockées sur le site du cyber-marchand de plaisir, c'est un souci. Chacun fait ce qui lui plaît et achète ce qu'il veut, mais si l'on achète un sextoy, on a le droit de vouloir le faire de manière anonyme, sans que ce soit écrit partout sur Internet. Et là.... C'est le drame. Le sexshop en ligne le plus en vue laissait un accès à un fichier texte non protégé avec la liste de ses 10.000 clients.

Dans cette liste, nombre d'entre eux utilisaient leur mail professionnel pour acheter sur le site.

Liste des clients avec un email @.gouv.fr - Copie d'écran
Liste des clients avec un email @.gouv.fr - Copie d'écran

Maintenant que vous avez compris que ce n'est pas terrible de ne pas protéger l'accès aux répertoires d'un site Web, regardons ce qu'on fait les experts de "l'écosystème des contributeurs de StopCovid"...

Chez Semeia, "La nouvelle génération du suivi des patients grâce à l'intelligence artificielle" ne se fait pas avec du htaccess non plus. Là aussi tout est transparent.

Transparence, encore... - Copie d'écran
Transparence, encore... - Copie d'écran

Toujours pour nos amis qui pensent que "saypagrav, sayjustedesjpeg", ne perdez pas de vue que ce qui se passe sur un répertoire contenant des images peut aussi arriver sur un répertoire contenant des choses plus sensibles...

C'est par exemple ce qui s'est passé chez Namr.

Nous sommes tombés sur un vieux système de mesure de statistiques de visites. En soi, c'est bien de ne pas communiquer les informations de ses visiteurs à Google et de traiter ça en local. Ici, avec Webalyzer. Encore faut-il ne pas laisser tout le monde accéder à ces informations.

Transparence sur les visiteurs - Copie d'écran
Transparence sur les visiteurs - Copie d'écran

Dans le cas qui nous occupe, le logiciel mettant en forme les statistiques de visite sur le site montre un fichier auquel l'administrateur n'a sans doute pas envie que l'on accède : un backup du site.

Ne faites pas ça chez vous - Copie d'écran
Ne faites pas ça chez vous - Copie d'écran

Bref, tout ça pour dire que :

1) pour développer une application où la sécurité est essentielle pour assurer la confidentialité des données, le gouvernement a créé un "écosystème de contributeurs" de première bourre qui a du mal à installer correctement ses sites Web. On est bien... 2) Ce que nous avons fait ici, c'est en termes de niveau de hacking ou de sécurité informatique, c'est un peu comme un dessin de maternelle pour représenter le soleil dans le ciel. On est loin d'un Claude Monet. Imaginez ce qu'un Claude Monet de la sécurité informatique aurait pu faire sur ces sites...

Claude Monet, Impression, soleil levant
Claude Monet, Impression, soleil levant

7 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée