L’Etat Français coupable de non sécurisation de son accès à internet

nuclearLa révélation d’un plan organisé de longue date entre le gouvernement Français et les ayants droit destiné à filtrer l’ensemble des contenus de l’internet en France n’est pas resté longtemps sans effets.

En choisissant non sans un certain humour noir la date du 11 septembre, un groupe de hackers français a fait circuler une liste de failles informatiques repérées dans un nombre impressionnant de sites gouvernementaux. Conformément au souhait des hackers qui nous ont contacté, nous ne publierons pas cette liste détaillée. Certaines de ces failles de sécurité sont particulièrement critiques et permettrait de réduire à néant des pans entiers du dispositif internet mis en place par le gouvernement Français ces dernières années.

D’autres failles permettent d’avoir accès à des documents confidentiels, ce que nous avons pu vérifier par nous même en accédant à des documents plutôt embarrassants, comme par exemple un compte rendu confidentiel traitant de la façon dont l’Etat compte gérer le problème de l’amiante.

Au final, plus de quarante sites gouvernementaux dont ceux d’une demi douzaine de ministères présentent des failles de sécurité plus ou moins importantes, un gag quand on pense que le défaut de sécurisation d’une connexion à internet est de nos jours passible d’une amende de 1500€ et de la coupure de l’accès à internet.

Certaines des failles de sécurité révélées ce week end «permettent des intrusions massives sur les réseaux informatique de ministères», laissant les portes grandes ouvertes sur des quantités invraisemblables de documents de travail.

Le plus inquiétant reste sans doute le nombre de ministères concernés par ces trous béants dans la sécurisation de leur connexion à internet, laissant ouvert au quatre vents de nombreuses informations, de documents confidentiels et de données privées, quand ce n’est pas carrément un boulevard donnant accès, pour qui sait s’y prendre, à l’intégralité de leurs infrastructures.

Sont concernés le ministère des finances, le secrétariat d’Etat à la prospective et au numérique, le ministère de l’agriculture, ou bien encore celui du premier ministre.

Le groupe de hackers qui a révélé ces « défauts de sécurisation » insiste sur le fait de ne pas avoir été jusqu’à l’intrusion informatique, mais lance un avertissement sévère : «ces failles sont présentes depuis des années, et celles que nous révélons aujourd’hui aux autorités [de haut responsables du monde de la cybersécurité ainsi qu’un député de la majorité ont été avertis] ne représentent que le sommet de l’iceberg». «De nombreux documents ont été collectés depuis des années, certains hackers sont ‘résidents’, et parcourent les réseaux informatiques de l’Etat comme s’ils étaient chez eux» ajoute cet expert de la sécurité informatique Français. «Parmi les groupes [de hackers] qui ont pénétré les infrastructures de l’Etat, on trouve pèle mêle des passionnés qui font cela pour le sport, des officines de renseignement privées, des services de renseignement étrangers, et d’autres groupes avec des intentions plus hostiles».

Les failles les plus critiques, qui ont été communiquées aux services concernés, devraient être corrigées sous peu, mais le problème de la sécurisation de l’accès à internet des infrastructures des institutions Françaises est grave : si les Français sont reconnus pour leur expertise en matière de sécurité informatique, une large proportion d’entre eux exercent leurs talents à l’étranger, où la reconnaissance et les salaires sont sans commune mesure avec ce qui se pratique en France, un pays où la profession est très dévalorisée, les hackers étant assimilés dans le discours des élites à des délinquants ou mis, pèle mêle, dans le même sac que les ‘pirates’, sans distinction aucune (un peu comme si on classait dans la même catégorie les titulaires d’un BEPC et ceux qui sortent de l’X en s’étonnant que ces derniers s’expatrient en masse).

Plus grave encore pour le gouvernement, la proportion d’opposants à la politique internet gouvernementale au sein de ces professionnels «est proche de 100%», et une grande campagne destinée à sécuriser les infrastructures de l’Etat lui ferait de facto courir un risque supplémentaire plutôt que de le résoudre.

En s’attaquant aux internautes, le gouvernement a ouvert une véritable boite de Pandore qu’il lui est désormais impossible de refermer, et face à l’arsenal du Deep Packet Inspection rêvé par les ayants droits, les armes, en face, sont infiniment plus offensives.

De part et d’autre, la course aux armements suit son cours, et il apparait désormais au grand jour que le rapport de force s’annonce très déséquilibré.


Recommandez cet article à vos amis

et rejoignez nous sur Facebook et Twitter...



27 commentaires pour cet article

  1. Pierre Col - Kizz TV

    On constate donc que le gouvernement, qui avec HADOPI veut présumer coupables ceux qui ne sécurisent pas leur accès Internet personnel, est infoutu de sécuriser ses propres sites web : hôpital et charité, paille et poutre, charité bien ordonnée etc…

  2. cwicket

    « un gag quand on pense que le défaut de sécu­ri­sa­tion d’une connexion à inter­net est de nos jours pas­sible d’une amende de 1500€ et de la cou­pure de l’accès à internet. » Qui est passible de l’amende en question ? l’internaute lambda, « présumé coupable » de ne pas être assez geek pour comprendre ce que veut dire WEP et WPA par rapport à sa connexion wifi. La question qu’il faudrait plutot poser je psnse : « Est ce qsu’un Ministère peut être passible de la même sanction infligée à tout internaute contrevenant » (quoique la réponse nous est déjà connu, il suffit de voir la conséidèration du gouvernement accordée à ces questions dont tu traites entre autre si brillamment :) ) Mais je me répète, je me répète, je radote… Je me fais vieux avant l’heure. C’est peut être la solution d’ailleurs, devenir vieux prématurément pour avoir une chance de se faire entendre….

  3. Stéphane Bortzmeyer

    Attention, l’analogie hacker/pirate d’un côté et BEPC/X de l’autre est très maladroite. Dans un cas, ce sont la loi et l’éthique qui font la différence, dans l’autre, c’est le diplôme (et un X n’est pas forcément plus compétent qu’un BEPC ; par exemple, dans les ministères en question, il y a beaucoup d’X).

  4. laurent

    J’allais le dire : l’assimilation des titulaires du BEPC à la délinquance n’est pas très heureuse..

  5. wilnock

    Y a t’il un esprit: « Messieurs les Anglais, tirez les premiers ! » ?
    Comme: degainer le DPI et en face, les Hacker reduisent a l’etat de legume les reseaux informatique des institutions?

    Ou s’agit il plutot de demontrer une faille critique?
    Qu’elle est la finalite de la demarche?

  6. Fabrice Epelboin

    @stephane @laurent

    le coté ethique c’est plutot la distinction white hat/black hat que les élites ne font pas du tout (non plus), la confusion que l’assimile aBEPC/Polytechnique, c’est de mettre dans le même sac un downloader, un script kiddy et un hacker de haut niveau ;-)

    @winlock

    Ca dépend de qui on parle, il y a une multitude de groupes aux intentions très variées qui trainent la dedans. Par ailleurs, le problème tient plus dans la diffusion à large échelle de ce qu’ils ont trouvé dans ces réseaux que dans la mise à mort des infrastructures, imho…

  7. JB

    Euh, il n’y a que moi que ça fait tiquer ??? Dans le même post, à quelques paragraphes, on peut lire:
    « Certaines des failles de sécu­rité révé­lées ce week end per­mettent des intru­sions mas­sives sur les réseaux infor­ma­tique de minis­tères ».

    Bon soit. J’en déduis donc que cela a été vérifié. Mais un peu plus loin:
    « Le groupe de hackers qui a révélé ces défauts de sécu­ri­sa­tion insiste sur le fait de ne pas avoir été jusqu’à l’intrusion infor­ma­tique ».

    Ah… donc, sans être aller jusqu’à l’intrusion (d’ailleurs ou se trouve la limite ?), « ils » (hackers ? RWW ?) peuvent affirmer que l’exploitation des dites failles donne accès aux « réseaux » (=intranet, autre chose ?) des ministères ?

    Sans remettre en cause le constat, particulièrement alarmant y compris et peut-être surtout hors contexte Hadopi, ce serait bien d’avoir un discours cohérent :-/

  8. Sebastien133

    @JB : C’est une manière classique de nier le fait qu’ils ont accédé à des informations confidentielles où qu’ils ont pénétré des systèmes informatiques, ce qui est un délit, il me semble…

    Tu préfèrerais qu’ils le disent clairement et qu’ils se mettent à dos les autorités?

  9. Bourgpat

    Voir le papier de bluetouff qui explique plus la méthode

    http://bluetouff.com/2010/09/11/scandale-sites-gouvernementaux-negligence-caracterisee/

    [quote]Le résultat est au delà de ce que l’on aurait pu imaginer en lançant, le 29 août vers 23h, ce capture the flag d’une envergure sans précédent (3 gus dans un garage) qui se finira le 30 août aux alentours de la même heure… Nous avons décidé de patienter jusque là pour publier ce billet mais l’actualité nous a enfin convaincu à vous livrer les résultats de nos travaux nocturnes.

    Comme dit précédemment nous nous sommes concentrés sur des failles simples à trouver ou à exploiter et la liste de celles découvertes est assez évocatrice :

    * Une vingtaine de XSS ;
    * 2 LFI ;
    * Des dizaines de documents accessibles au publics et qui ne devraient pas l’être (certains marqués « confidentiel ») ;
    * Des authentifications défaillante (ou inexistantes !) d’accès à des intranets ;
    * Un grand nombre de fichiers robots.txt qui ont bien orienté nos recherches (merci :) ) ;
    * Des accès aux zones d’administration / phpmyadmin comme s’il en pleuvait ;
    * Des CMS non mis à jour depuis plusieurs années ! Et présentant des vulnérabilités bien connues ;
    * Des logs d’envois de mails / newsletter / de connexion FTP / …
    * Un site en debug qui laisse, si l’on saisit la bonne url, voir les identifiants et mot de passe de connexion à la base de données ;
    * Un script SQL de génération de base de données.
    * …
    [/qoute]

  10. JB

    @Sebastien133
    Non, pas envie qu’ils aient les autorités sur le dos… mais de toute façon, ce doit déjà être le cas d’une manière ou d’un autre…

    @Bourgpat
    J’ai vu le post de Bluetouff. J’y relève également beaucoup plus de nuances:
    « on sait qu’une faille 0day [...] [b]peut[/b] suffire à compromettre une machine, puis par effet de rebond, tout un système d’information, puis plusieurs »

    « Certaines failles découvertes ici [...] permettent de prendre le contrôle du serveur si elles sont exploitées correctement »

    La seule évocation d’un rebond possible vers les réseaux internes se trouve dans la description, très académique, du XSS:
    « Pour finir il est egalement possible via du javascript executé sur le navigateur de récupérer des informations personnelles (historique, geolocalisation, …) mais également de récupérer des informations sur le reseau auquel est connecté la personne (scan du reseau,…). »

    Et donc la phrase: « Certaines des failles de sécu­rité révé­lées ce week end «per­mettent des intru­sions mas­sives sur les réseaux infor­ma­tique de minis­tères» » me gène terriblement en ce qu’elle suppose que ce fait a été vérifié. Mieux (pire ?): la présence des guillemets en fait une citation de la seule source citée dans le post, à savoir les auteurs de ce « Capture the flag ».

    Pas très pro sur ce coup-là.

  11. Kevin Hinault

    J’allais réagir sur les analogies BEPC/Hacker/X/Pirates mais Stéphane a dégainé plus vite que moi (ça ne m’étonne pas de lui d’ailleurs). Rien de plus a dire, ce n’est pas une comparaison valable ou alors assez maladroite … Si je devais prendre un équivalent, je ne prendrais pas des comparaisons de niveaux mais d’objectif ou de fonction. Je chercherais plutôt dans la distinction qui est faite entre un serrurier officiel et un voleur de voiture. Jamais on ne dit que tous les serruriers se servent de leurs compétences pour nuire.

  12. Fabrice Epelboin

    @JB

    En pratique, entre la publication de son billet (de Blueftouff) et de celui-là, ceux qui ont vraiment fait des intrusions se sont manifestés ;-)

  13. wilnock

    Je reviens sur mon commentaire, j’ai lus les billets de bluetouff, et je me doute bien que differents activistes ou groupuscules utiliseront ces ressources & donnees avec des intentions toutes diverses.

    Dans le cadre actuel le but est-il de faire un gag potache et de faire payer une amande de 1500 EUR par sites institutionnels pour non-securisation d’acces?

    Autre point, si ces failles permettes de faire sortir des documents douteux, et ainsi d’abreuver wikileaks ou d’autres media ‘tout publics’, pourquoi pas, je rejoints Eric Schmit sur ce point.

  14. clarinette

    Billet tres instructif, c’est en quelque sorte l’arrosoir arrosé.
    L’état va-t-il jourer le role du bon éleve dans ce jeu du chat et de la souris? http://clarinettesblog.wordpress.com/

  15. gou

    Je n’ai pas bien sais si ils ont déclaré les failles aux gens compétents avant le 11 septembre ou pas. Si j’ai bien saisi depuis cela est fait. Reste à voir dans quelques mois si les correction ont été apportés ou pas….

  16. anon

    Je pense qu’il y a ici un gros amalgame entre sécurisation des IP (Wifi non squatté) et la sécurisation de sites (identifiants d’accès administrateur).

    On peut me voler les identifiants de mon blog wordpress (admin/admin), mais l’installation sur mon pc d’un logiciel de sécurisation labellisé par l’HADOPI permet d’éviter l’amende.

    Alors ok, créer ce déli de non sécurisation pour satisfaire les majors était débile, et je suis globalement d’accord avec votre discours, mais en mettant 2 choses bien distinctes sur le même plan, vous avez rempli mon cerveau de FUCK.

    & pics or it didn’t happen.

  17. Marcel D.

    « …la pro­por­tion d’opposants à la poli­tique inter­net gou­ver­ne­men­tale au sein de ces pro­fes­sion­nels «est proche de 100% »

    D’où sort ce chiffre, peut-on en connaître la source ? Ça parait fort peu crédible, voire totalement bidonné.
    Doit-on croire qu’après une victoire de la gauche à la prochaine élection présidentiel tous ces défauts de sécurité disparaîtraient par enchantement ?
    On nage en pleine fantasmagorie. L’Etat n’est pas plus coupable qu’aucune autre entreprise utilisant les mêmes progiciels mal foutus.

    PS. Vous pouvez ôter la majuscule à l’adjectif « français » dans le titre. Il sera toujours aussi racoleur mais avec une faute d’orthographe en moins.

  18. Fabrice Epelboin

    @Marcel

    Comme toutes les citations, celle-ci ressort de l’échange que nous avons eu avec le groupe de hackers.
    Là où vous avez tendance à faire un amalgame, c’est d’imaginer qu’un opposant la la *politique internet* du gouvernement est un sympathisant des opposant tradi du gouvernement. Tout le monde aujourd’hui est tout de même assez conscient que si Ségo avait été élu, on en serait exactement au même point. La politique n’est plus binaire, c’est une vue de l’esprit savamment entretenue en France.

    En cas de victoire de la gauche, il n’y a pour l’instant aucune chance que quoi que ce soit change, ce problème de sécurité ou autre chose.

  19. Fabrice Epelboin

    @anon

    Relisez la loi Hadopi, elle sanctionne le défaut de sécurisation d’un accès, point barre. Au sens de la loi, plusieurs de ces failles tombe sous le coup d’une sanction. Je sais, c’est tordu, c’est toute l’ironie de cette action militante de hackers.

  20. Fabrice Epelboin

    @wilnock

    oui et oui ;-)

  21. anon

    Sans relire la loi, il me semble que les sanctions sont prises par la HADOPI, haute autorité qui se base sur un relevé d’IP effectué sur les réseaux P2P par les ayants droits. Vous n’y trouverez jamais les IP des machines où sont hébergés les sites du gouvernement.

    La non sécurisation d’un accès « à internet », pas à un site internet.

    De plus, les serveurs des sites gouvernementaux sont peut êtres équipés du logiciel de sécurisation, ce qui les disculperait, avez vous vérifié ?

  22. bioman

    @anon, il ne faut pas jouer au chat et à la souris, ou aux chiens de garde contre les chats (la liberté).

    Biensur qu’hadopi et acta sont bancal, a un point que ceux qui l’ont voulu n’imaginent pas, et ne voient pas les conséquences.

    La société est un contrat, ou les individus ont des libertés, ou leurs « données » leurs idées , la liberté d’expression leurs appartiennent, et ou ils ont des libertés correspondants aux avancés de la technologie.

    La technologie est une force plus grande que toute considération politique et économique : ce n’est pas en contrôlant que ca va changer quelque chose ( et le contrôle induira un effet de bord non désirable pour la société humaine : vraiment comprenez le message ).

    La société est un contrat : ce que veulent les gens c’est de quoi vivre, librement, et remplir leurs besoins ( voir la pyramide des besoins )

    Le peuple n’est pas criminel.

    Il y a des vrais criminels, et il y a des vrais risque : vouloir contrôler ne fait que repousser le problème et le rend non arétable : beaucoup plus dangereux. (cela vaut pour les caméras de sécurité ou le controle d’internet ou tout autre chose : l’angleterre révise sa politique a ce sujet )

    Je crois qu’il y a des considérations plus grande en ce moment que se bouffer la gueule les uns les autres : vraiment. La guerre des classes est terminé : des richesses il y en assez pour tout le monde : des solutions il y en a pour tous les problèmes ( encore faut il voir ou sont les vrais problèmes ).

  23. bioman

    Le peuple n’est pas criminel : 90% de la population avec de nouvelles pratique n’est pas criminel.

  24. tof

    oups Fabrice coquille ou boulette ??
    j’espère que c’était pas voulu mais ce que l’on appelle communément l’Etat Francais est la période de Vichy sous Pétain.
    Pour le reste, bien joué, mais j’aurais, plutot que de voir ca le 11/09 voir ca le 14 juillet, date a laquelle le peuple s’est soulevé contre ses élites népotiques. Nan nan ! Aucun rapport avec aujourd’hui :p

  25. Fabrice Epelboin

    Ho ? L’Etat Français ça sous entend Vichy ? Je savais pas, non, c’est au mieux un lapsus révélateur ;-)

  26. Iznogoud

    D’après wiki on dirait qu’ils ont raison ;):
    http://fr.wikipedia.org/wiki/%C3%89tat_en_France
    Sinon super article, j’aurais tendance aussi à trouver un peu bizarre la comparaison bepc/x mais pourquoi pas.
    De toute manière la France (administrative et politique) et l’High-Tech, ça fait pas un c’est sûr.

  27. Fabrice Epelboin

    A lire, sur le rapport entre sécurisation de sa connexion WiFi et sécurisation d’un serveur comme ceux décrits dans cet article :
    http://bluetouff.com/2010/09/13/hadopi-tu-securises-ou-tu-fliques/

    Par Bluetouff, qui fait parti du groupe de hacker ayant révélé ces failles.

10 Trackbacks For This Post

  1. TWO VEGANS » L’état français incapable de sécuriser ces sites ? :

    [...] … certains hackers ce sont mis à regarder de plus près la sécurité de sites gouvernementaux et à divulguer des trous de sécurité dans divers sites gouvernementaux [...]

  2. L’Etat Français coupable de non sécurisation de son accès à internet « Veille du Net.com :

    [...] L’Etat Français coupable de non sécurisation de son accès à internet Wikio [...]

  3. New Rb@3 World » L’Etat Français coupable de non sécurisation de son accès à internet :

    [...] son accès à internet Filed under: Actualités — admin @ 10:59 pm September 15, 2010 Lisez L’Etat Français coupable de non sécurisation de son accès à internet et ses commentaires sur ReadWriteWeb France — Hadopi, Loppsi, Acta, Deep Packet Inspection, [...]

  4. links for 2010-09-20 « Les Giraultises blogguent :

    [...] L’Etat Français coupable de non sécurisation de son accès à internet | ReadWriteWeb France La révé­la­tion d’un plan orga­nisé de longue date entre le gou­ver­ne­ment Français et les ayants droit des­tiné à fil­trer l’ensemble des conte­nus de l’internet en France n’est pas resté long­temps sans effets. [...]

  5. Quick & Dirty (1C) [gros pavé] « Journal du Hack :

    [...] L’Etat Français coupable de non sécurisation de son accès à internet (complémentaire au billet de [...]

  6. Les Anonymous, première forme d’intelligence collective ? | ReadWriteWeb France :

    [...] Les plus curieux peuvent jeter un oeil à ce billet pour comprendre le pourquoi du comment. Cet autre billet vous permettra de mesurer à quel point il est de toutes façons trop tard pour envisager la [...]

  7. Wikileaks pour les entreprises | ReadWriteWeb France :

    [...] critiques, et la nature du risque a changé. Le plus terrible (pour cette industrie), c’est qu’il est beaucoup trop tard pour qu’elle ne puisse envisager être une solution au problème Wikileaks. Les fuites ont déjà [...]

  8. AmnDawla en France ? Prémices d’une révolution Française 2.0 | ReadWriteWeb French edition :

    [...] le début de la révolution Tunisienne, qu’une quarantaine de site gouvernementaux dont ceux de six ministères avaient fait l’objet d’intrusions informatiques plus ou moins sévères, certains ministères s’étant fait dérober une large part de leur ‘patrimoine [...]

  9. La France attaquée par les CyberChinois : mais que fait la CyberPolice ? | ReadWriteWeb French edition :

    [...] élément troublant : pourquoi la presse ne s’est-elle pas enflammée de la sorte que nous révélions, début septembre 2010, que de tels raids informatiques destinés à voler des données sensibles [...]

  10. Le Quai d’Orsay attaqué par des pirates | ReadWriteWeb French edition :

    [...] les intrusions révélées en septembre dernier dans nos colonnes, et l’attaque de Bercy de soi disant espions Chinois qui a fait les grands titres de la [...]

Réagissez !

Politique de modération des commentaires

  • A propos
  • Best of
  • Buzzing
  • Tags

ReadWriteWeb est un blog dédié aux technologies internet qui en couvre l’actualité et se distingue par ses notes d’analyse et de prospective ainsi que par l’accent mis sur les usages et leurs impacts sur les média, la communication et la société. Il est classé parmi les blogs les plus influents de la planète par Technorati et Wikio. Publié en cinq langues, il s'appuie sur un réseau de correspondants locaux en Nouvelle-Zélande, aux Etats-Unis, en France, en Espagne, au Brésil, en Chine ainsi qu'en Afrique francophone. Ses articles sont publiés dans la rubrique technologie du New York Times.


Partenaires

hébergement infogérance Bearstech
af83





Appli iPhone


 

Recommandés



Activité sur le site