#Sécurité : Pourquoi le site des sénateurs #UMP doit être considéré comme compromis ?

lolcatNous avons un peu l’impression de tourner en boucle dés fois sur Reflets. Le plus éprouvant pour nous, c’est d’user de toute la pédagogie possible pour être assurés d’être compris quand nous publions un article comme celui-ci.

Nous avons donc pris la décision d’exposer clairement ce qui pourrait mener à une compromission par rebond du site des Sénateurs UMP qui a, comme d’habitude, eu l’idée de génie de confier la réalisation de son site web à une agence de communications aux compétences web pour le moins douteuses, ou plutôt, ne prenant en compte que la dimension cosmétique du projet et en délaissant de manière bien visible, les basiques, les bonnes pratiques en matière de sécurité…

Le site des sénateurs UMP est compromis

C’est théorique, à notre connaissance aucune intrusion n’a eu lieu, mais ce dernier doit être considéré comme compromis. Comme nous le présentions hier, les erreurs systématiques de configurations laissant aux quatre vents tout et n’importe quoi, une véritable griffe de fabrication dans les agences de communication que l’UMP sélectionne pour ses projets web, conduit par rebond à ce qui pourrait bien devenir une nouvelle fuite majeure, cette fois sur le site des sénateurs. Après notre premier article de mise en garde, c’est Kitetoa qui enfonçait le clou en visitant le site de l’agence Septiemesens.fr et démontrait que le mot de passe de leur basse de données SQL était disponible en clair dans un répertoire du site web, sans AUCUNE PROTECTION. Et après ? Et après c’est une histoire dramatiquement banale :

  • une personne mal intentionnée récupère l’ensemble de la base de données puisque comme d’habitude, les clés sont sur le paillasson.
  • dans cette basse de données, elle extrait les identifiants et les mots de passe des premiers utilisateurs, ceux qui ont des droits importants (administrateur du site, développeur, patron de l’agence…).
  • il ne lui reste plus qu’à utiliser ces identifiants et mots de passe sur le site des Sénateurs UMP, site sur lequel, au moins un compte a été conservé par l’agence pour la maintenance du site, avec tous les droits qui vont bien.
  • au mieux on se retrouve avec un lolcat sur la page d’accueil, au pire on se retrouve avec une belle fuite de données personnelles à l’image du fameux DoX UMP de 2011.

On prend les mêmes et on recommence

La compétence sur Internet ne se mesure pas au poids du papier des cartes de visites d’un commercial, ni même à la maquette graphique que l’on soumet à un prospect. Le développement web et l’administration sont deux métiers, deux vrais métiers, très différents du graphisme et du suivi marketing, quelque soit le mot hipster qu’on lui attribue (e-réputation, business intelligence ou autres conneries du même tonneaux).

Quand on demande à celui qui, globalement, ne sait fournir que le fichier Photoshop de la maquette graphique ou le suivi Google analytics d’un projet web, de piloter le projet, on s’expose, en toute logique à d’énormes risques. Et un site web qui se passe des compétences d’un développeur et/ou d’un administrateur compétent, le premier risque auquel il s’expose, c’est naturellement, celui de la sécurité, celui qui est bien visible, celui qui fait mal quand ça pète, celui qui fini par pisser du leak.

S’offrent alors à nos agences de comm’ deux solutions souvent pratiquées :

  • la sous traitance
  • le développement « en interne »

Si nous sommes dans un schéma où le client a choisi une agence de comm’ pour piloter le projet, dans un cas comme dans l’autre, ça ne peut pas fonctionner correctement.

  • La sous-traitance : une agence de comm’ aura naturellement du mal à planifier autre chose dans la recette du site web que les aspects cosmétiques, pseudo fonctionnels (avec une vision souvent plus adaptée au print qu’à la réalité du web) ;
  • Le développement en interne : une agence de communication n’a par définition pas de compétence pour recruter un bon développeur ou un bon administrateur système, nous avons déjà démontré à maintes reprises que le développement web était dans ces agences très rarement confié à des développeurs expérimentés. Non un web designer n’est pas un développeur parce qu’il a deux ou trois notions de PHP, qu’il maitrise Flash ou qu’il sait installer un Spip.

Partis politiques : payez vous un RSSI bordel !

Mais envisageons le cas que vous soyez terriblement attachés à aller acheter votre pain chez le boucher et à confier des projets web à des agences de communication qui vous facturent à prix d’or un travail ni fait ni à faire « mais au moins c’est joli ». Et bien dans ce cas, il est de votre responsabilité d’assurer la gestion de projet intégrale et d’avoir une personne réellement qualifiée en interne qui vérifie les basiques AVANT LA MISE EN PRODUCTION, et qui vérifie par extensions que les prestataires sont qualifiés et ne compromettront pas votre application en brisant la chaine de confiance par une bêtise aussi lourde que celle que nous venons d’évoquer.

Une organisation politique, par définition, manipule une quantité importante de données personnelles, et pourtant, en 2014, combien d’entre elles s’offrent les compétences d’un responsable de la sécurité des systèmes d’information (RSSI) ? Quel contrôle sur les données personnelles ou sur la compétence des prestataires font l’objet de procédures claires dans ces organisations ?

Il serait peut être temps de contraindre les organisations politiques à arrêter le massacre… on est en train de parler de faire n’importe quoi avec des données, souvent personnelles, à caractère nominatif, indiquant clairement les opinions politiques des victimes des fuites inhérentes à ce genre d’âneries. La CNIL ? On ose même plus en parler, ils ne servent à rien…  ce nouvel épisode relève peut être plus des compétences de l’ANSSI qui doit quand même avoir des choses plus sérieuses à traiter que la distributions de bons et de mauvais points à des agences de comm’…

Cher parlementaires… oui, vous pouvez continuer à voter des lois restreignant les libertés des internautes ou même de la presse sur Internet, oui vous pouvez continuer une chasse chimérique aux hackers chinois… ou vous pouvez prendre vos responsabilités et ouvrir les yeux sur des années de conneries répétées qui mènent systématiquement à la même chose.

Twitter Facebook Google Plus email


17 thoughts on “#Sécurité : Pourquoi le site des sénateurs #UMP doit être considéré comme compromis ?”

  1. Laurent Chemlia explique que l’Internet est un formidable outil amenant inéluctablement la disparition des intermédiaires à tous les niveaux, Benjamin Bayart explique qu’Internet permet à tout le monde de prendre en charge sa communication au lieu de la réserver à une élite, et bluetouff explique que pour communiquer sur Internet il faut un intermédiaire technique d’élite…

    Y’a une petite contradiction non?
    En tant qu’internaute qui tente d’expliquer que faire son site c’est facile comme tout j’avoue que j’aimerais comprendre à partir de quel niveau cela cesse d’être vrai et nécessite un professionnel plutôt qu’un passionné.

    1. Mouis, si vous considérez que développer votre propre blog avec vos infos persos, vos photos et vos opinions perso est la même chose que gérer une organisation qui détient des infos sur tout un pays, peut-être bien.
      Personnellement je serai un peu plus prudent, mais c’est sans doute pure paranoïa.
      Et à propos, au moment de monter son propre site, il peut être intéressant de savoir si on le fait sur une plateforme fiable, ce qui permet d’être plus tranquille et de s’adonner à ses passions.
      PS : je suis d’accord sur le fait que tout cela est compliqué-

    2. ça peut sembler contradictoire.
      Mais si je fais une analogie pas trop pourrie, c’est comme la mécanique automobile, y’a des gens dont c’est le métier, des gens qui arrivent très bien a subvenir a leur besoin avec ce qu’ils ont chez eux, et ceux qui n’y toucheront jamais. Si tu ne veux pas vidanger ta voiture, tu demandes à un garagiste de le faire, pas a un designer automobile.
      Ben le site web c’est pareil. si tu ne le fais pas toi même, tu ne demande pas a une agence de com de le faire (quand bien même il est pertinent qu’elle parle au webadmin).

    3. Tout dépend de ce que l’on entend par « facile comme tout ».
      Créer un blog par l’intermédiaire d’une plateforme existante, oui ce n’est pas bien compliqué.
      En revanche, le néophyte ne peut pas prétendre à développer une vraie application web.

  2. Et une petite série de tweet auprès de différents « responsables politiques » histoire de les sensibiliser?
    PArce qu’on parle de l’UMP, mais je serais pas surpris que les autres partis aient les même comportements.

  3. http://pro.clubic.com/it-business/securite-et-donnees/actualite-713021-rapport-cybercriminalite.html

    ahem, je trouve que ça tombe à point nommé…

    Ouh putain j’avais pas lu:
    « Le blocage des sites et des noms de domaine suite à une décision de la justice uniquement pour les infractions graves. »
    Défaut de sécurisation de données personnelles ça peut être considéré comme une infraction grave? ^^

    /me sent venir l’idée à la con

  4. Tiens, ça me fait penser à une petite plateforme web concernant de la fourniture de prestation que j’ai migrée pour son nouvel acquéreur (sachant que les anciens devs ont été embauchés par le nouveau propriétaire) il n’y a pas longtemps. Au menu:

    * .htaccess non verrouillé
    * identifiants de la bdd récupérables directement depuis le site
    * configuration du serveur mail en mode « tiens, si je relayais du spam? »
    * phpmyadmin à poil
    * webmail à poil
    * accès ftp directement à la racine des sites concernés avec login et mot de passe bidon

    Le plus drôle étant que je me suis fait engueuler parceque le « sftp avec tes clef asymachin c’est chiant », « pourquoi y’a un machin « Authentification » sur la preprod? », « pourquoi y’a un machin authentification en plus sur le phpmyadmin », etc, entre autres >.>

    Mais j’ai pas cédé :)

  5. L’agence Septièmesens a bien pris acte du défaut de son site Internet. Quant aux informations contenues sur son site, celles-ci ne permettent pas de s’introduire sur le site des sénateurs UMP.
    Nous remercions reflets pour sa vigilance à l’égard des sites Internet et particulièrement ceux de l’UMP.

  6. Cette boite ce n’est que la partie visible de l’iceberg. Plein de boites n’ont pas d’admin système compétent et préférèrent en charger un pauvre développeur qui a eu 3 cours de réseau à tout casser,quand il n’est pas encore à l’école. Et bien sur en le tenant pour responsable quand immanquablement survient un problème…
    Le vrai point bloquant c’est que la plupart des français, « digital natives » compris, ne captent rien du tout à l’outil qu’ils utilisent pourtant au quotidien. Comment pourraient ils alors ne serait-ce que commencer à appréhender la complexité de ces métiers ?
    Les développeurs aux US ne sont pas vus de la même manière qu’en France et il y a une bonne raison à cela, ce ne sont pas de simples exécutants.

  7. Cette boite ce n’est que la partie visible de l’iceberg. Plein de boites n’ont pas d’admin système compétent et préférèrent en charger un pauvre développeur qui a eu 3 cours de réseau à tout casser,quand il n’est pas encore à l’école. Et bien sur en le tenant pour responsable quand immanquablement survient un problème…
    Le vrai point bloquant c’est que la plupart des français, « digital natives » compris, ne captent rien du tout à l’outil qu’ils utilisent pourtant au quotidien. Comment pourraient ils alors ne serait-ce que commencer à appréhender la complexité de ces métiers ? Comment pourraient ils les voir autrement que de simples exécutants ?
    Aux Etats-Unis ça fait pourtant des décennies qu’ils ont compris eux… Et nous on est toujours là à se demander pourquoi le web est complétement dominé par les services américains.

  8. Payez-vous un RSSI ?
    Mouais… c’est bien gentil mais le problème n’est pas tant le RSSI que l’incapacité des responsables à déléguer.

    Autrement dit, on pourra se payer le meilleur des RSSI du monde, si ledit RSSI n’a pas de fait le pouvoir de décision que devrait lui conférer sa charge, il est absolument et complètement inutile.

    Dans les faits, il arrive à peine, à force de marteler de l’info, à forcer des mots de passe de plus de 8 caractères — parce que le Président du Sénat (un exemple inventé) a décidé que cette règle ne valait pas pour lui.

    Dès lors on ose à peine imaginer le peu d’effet de son avis (alors qu’il devrait non pas s’agir d’un avis mais d’un droit de veto) dans le choix d’un fournisseur de services, d’une solution technique, voire même d’un simple paramétrage s’il a le malheur de se faire un peu trop mal voir à force d’être dans l’obligation de se couvrir.

    Ceux qui connaissent la situation d’épouvantail-responsable confronté à l’incompétence de décideurs tout puissants reconnaissent sans doute cette situation.

    Malheureusement… la présence d’un RSSI ne changera rien.
    Il y en a probablement déjà un, un vrai hein, un mec bien et compétent, mais qui n’a aucun réel pouvoir de décision et qui, comme bon nombres de fonctionnaires / de contractuels dans l’administration subit le fait du prince et n’a vraiment aucun réel pouvoir.

    Bref : vision bien naïve de l’état de la fonction publique.

  9. Je suis un grand néophyte en sécurité informatique (hélas), mais je rebondis sur les RSSI.

    Il ne faut pas juste en avoir un, il faut en avoir un bon !

    Je bosse dans le service public et je peux vous assurer que la sécurité est ridicule, le RSSI qu’on a le dit lui-même : il a eu une formation de qq jours, le reste c’est lui qui va chercher l’info car il aime ça, mais il reste incapable de faire face à un vrai problème. Et je dépends d’un gros ministère…
    ça fait franchement flipper !

    donc un site à la noix du style groupe politique au sénat, ça ne m’étonne pas que ça soit bidon.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *