Journal d'investigation en ligne et d'information‑hacking
par bluetouff

#Sécurité : Pourquoi le site des sénateurs #UMP doit être considéré comme compromis ?

Nous avons un peu l'impression de tourner en boucle dés fois sur Reflets. Le plus éprouvant pour nous, c'est d'user de toute la pédagogie possible pour être assurés d'être compris quand nous publions un article comme celui-ci.

Nous avons un peu l'impression de tourner en boucle dés fois sur Reflets. Le plus éprouvant pour nous, c'est d'user de toute la pédagogie possible pour être assurés d'être compris quand nous publions un article comme celui-ci.

Nous avons donc pris la décision d'exposer clairement ce qui pourrait mener à une compromission par rebond du site des Sénateurs UMP qui a, comme d'habitude, eu l'idée de génie de confier la réalisation de son site web à une agence de communications aux compétences web pour le moins douteuses, ou plutôt, ne prenant en compte que la dimension cosmétique du projet et en délaissant de manière bien visible, les basiques, les bonnes pratiques en matière de sécurité...

Le site des sénateurs UMP est compromis

C'est théorique, à notre connaissance aucune intrusion n'a eu lieu, mais ce dernier doit être considéré comme compromis. Comme nous le présentions hier, leserreurs systématiques de configurations laissant aux quatre vents tout et n'importe quoi, une véritable griffe de fabrication dans les agences de communication que l'UMP sélectionne pour ses projets web, conduit par rebond à ce qui pourrait bien devenir une nouvelle fuite majeure, cette fois sur le site des sénateurs. Après notre premier article de mise en garde, c'est Kitetoa qui enfonçait le clou en visitant le site de l'agence Septiemesens.fr et démontrait que le mot de passe de leur basse de données SQL était disponible en clair dans un répertoire du site web, sans AUCUNE PROTECTION. Et après ? Et après c'est une histoire dramatiquement banale :

  • une personne mal intentionnée récupère l'ensemble de la base de données puisque comme d'habitude, les clés sont sur le paillasson.
  • dans cette basse de données, elle extrait les identifiants et les mots de passe des premiers utilisateurs, ceux qui ont des droits importants (administrateur du site, développeur, patron de l'agence...).
  • il ne lui reste plus qu'à utiliser ces identifiants et mots de passe sur le site des Sénateurs UMP, site sur lequel, au moins un compte a été conservé par l'agence pour la maintenance du site, avec tous les droits qui vont bien.
  • au mieux on se retrouve avec un lolcat sur la page d'accueil, au pire on se retrouve avec une belle fuite de données personnelles à l'image du fameux DoX UMP de 2011.

On prend les mêmes et on recommence

La compétence sur Internet ne se mesure pas au poids du papier des cartes de visites d'un commercial, ni même à la maquette graphique que l'on soumet à un prospect. Le développement web et l'administration sont deux métiers, deux vrais métiers, très différents du graphisme et du suivi marketing, quelque soit le mot hipster qu'on lui attribue (e-réputation, business intelligence ou autres conneries du même tonneaux).

Quand on demande à celui qui, globalement, ne sait fournir que le fichier Photoshop de la maquette graphique ou le suivi Google analytics d'un projet web, de piloter le projet, on s'expose, en toute logique à d'énormes risques. Et un site web qui se passe des compétences d'un développeur et/ou d'un administrateur compétent, le premier risque auquel il s'expose, c'est naturellement, celui de la sécurité, celui qui est bien visible, celui qui fait mal quand ça pète, celui qui fini par pisser du leak.

S'offrent alors à nos agences de comm' deux solutions souvent pratiquées :

  • la sous traitance
  • le développement "en interne"

Si nous sommes dans un schéma où le client a choisi une agence de comm' pour piloter le projet, dans un cas comme dans l'autre, ça ne peut pas fonctionner correctement.

  • La sous-traitance : une agence de comm' aura naturellement du mal à planifier autre chose dans la recette du site web que les aspects cosmétiques, pseudo fonctionnels (avec une vision souvent plus adaptée au print qu'à la réalité du web) ;
  • Le développement en interne : une agence de communication n'a par définition pas de compétence pour recruter un bon développeur ou un bon administrateur système, nous avons déjà démontré à maintes reprises que le développement web était dans ces agences très rarement confié à des développeurs expérimentés. Non un web designer n'est pas un développeur parce qu'il a deux ou trois notions de PHP, qu'il maitrise Flash ou qu'il sait installer un Spip.

Partis politiques : payez vous un RSSI bordel !

Mais envisageons le cas que vous soyez terriblement attachés à aller acheter votre pain chez le boucher et à confier des projets web à des agences de communication qui vous facturent à prix d'or un travail ni fait ni à faire "mais au moins c'est joli". Et bien dans ce cas, il est de votre responsabilité d'assurer la gestion de projet intégrale et d'avoir une personne réellement qualifiée en interne qui vérifie les basiques AVANT LA MISE EN PRODUCTION, et qui vérifie par extensions que les prestataires sont qualifiés et ne compromettront pas votre application en brisant la chaine de confiance par une bêtise aussi lourde que celle que nous venons d'évoquer.

Une organisation politique, par définition, manipule une quantité importante de données personnelles, et pourtant, en 2014, combien d'entre elles s'offrent les compétences d'un responsable de la sécurité des systèmes d'information (RSSI) ? Quel contrôle sur les données personnelles ou sur la compétence des prestataires font l'objet de procédures claires dans ces organisations ?

Il serait peut être temps de contraindre les organisations politiques à arrêter le massacre... on est en train de parler de faire n'importe quoi avec des données, souvent personnelles, à caractère nominatif, indiquant clairement les opinions politiques des victimes des fuites inhérentes à ce genre d'âneries. La CNIL ? On ose même plus en parler, ils ne servent à rien...  ce nouvel épisode relève peut être plus des compétences de l'ANSSI qui doit quand même avoir des choses plus sérieuses à traiter que la distributions de bons et de mauvais points à des agences de comm'...

Cher parlementaires... oui, vous pouvez continuer à voter des lois restreignant les libertés des internautes ou même de la presse sur Internet, oui vous pouvez continuer une chasse chimérique aux hackers chinois... ou vous pouvez prendre vos responsabilités et ouvrir les yeux sur des années de conneries répétées qui mènent systématiquement à la même chose.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée