Le scandale des sites gouvernementaux qui se négligent

white hat hacking

Vous m’avez, moi comme d’autres, souvent entendu pester sur le stupide délit de négligence caractérisée et l’obligation légale faite à l’internaute de sécuriser une belle abstraction légale : « la connexion Internet». Comme sur Internet plus qu’ailleurs, niveau sécurité, les conseilleurs sont rarement les payeurs, nous avons décidé, avec Paul Da Silva et Paul Rascagneres (RootBSD), d’aller jeter un oeil sur le pas de la porte des conseilleurs… comme on s’en doutait : c’est moche. Nous pourrions vous dire que nous avons été surpris… mais soyons sérieux, nous ne l’avons pas été le moins du monde.

Dans le titre, comme vous le constatez, j’emploie le terme un peu fort de scandale. Je vous dois une explication là dessus. Avoir un site web qui comporte des trous de sécurité, ce n’est pas une honte, ça arrive à tous, on sait qu’une faille 0day (même si les 0day sont dans les faits très rarement exploités) peut suffire à compromettre une machine, puis par effet de rebond, tout un système d’information, puis plusieurs. Il suffit d’exploiter les informations collectées à un endroit pour se retrouver résident d’un système. Le vrai scandale, c’est quand un prestataire alerte d’une faille importante et que les personnes en charge d’un  site web gouvernemental qui exposent des données personnelles de fonctionnaires refusent à ces prestataires , depuis des mois, des années, l’intervention nécessaire à la correction de cette vulnérabilité… pas vu pas pris…

Ce que le texte d’HADOPI appelle pudiquement le manque de diligence à sécuriser son accès doit il être appliqué aux internautes ? En ce qui nous concerne, nous avons la conviction qu’il est bien plus grave qu’un site gouvernemental « manque de diligence » à fixer des trous de sécurité qui par escalation de privilèges peuvent mettre en péril certaines infrastructures sensibles de l’État… et d’aller crier à la presse que nous sommes la cible de hackers chinois

Il faut donc que cette hypocrisie cesse au plus vite, ou que des garanties sérieuses soient données aux particuliers pour être en mesure de se défendre. Si cette absurde circulaire de la chancellerie était appliquée, à ce jour nous pourrions très bien faire déconnecter ou bloquer  un site gouvernemental (à quand le blocage des sites sauce Loppsi pour lutter contre les pirates ?) en y uploadant quelques mp3 et quelques divx… comme ça, juste pour rigoler.

Puisque l’Elysée ne semble pas convaincu de la nécessité de se référer à des experts avant d’orienter une législation vers une bourde certaine, nous allons concourir à l’y encourager un peu.

Rentrons dans le vif du sujet

Nous découvrions récemment avec surprise que le gouvernement, qui avec la loi Hadopi instaure le délit de négligence caractérisée, n’était pas mieux logé que les autres – bien au contraire. Le délit de négligence caractérisée vise à punir celui qui, par manque de compétences techniques notamment, ne « sécurise » pas son accès à internet si celui-ci venait à être utilisé à des fins de piratage (au sens de contrefaçon… il est important de le préciser vu que même le terme de piratage est ici sujet à caution). Une belle hypocrisie quand on sait que le niveau technique requis pour sécuriser ce qui est en mesure de l’être par un abonné final est très élevé et que, même comme cela, il est toujours possible d’usurper l’identité d’un abonné pour le faire paraître coupable (avec cette fois un niveau de compétences très relatif).

Nous (RootBSD, Bluetouff et Paul) avons décidé d’élever le débat et de vérifier si l’Etat lui même applique à son parc de sites internet les mêmes recommandations que celles qu’il souhaite voir ses concitoyens adopter.

A l’attaque !

Pour ce faire la méthode a été très simple : quelques minutes par site, des recherches de failles très basiques et à la portée de n’importe quel pirate en herbe… Occasionnellement des découvertes de documents dans des répertoires accessibles à tous et, si d’aventure on venait à tomber sur une faille un peu plus sérieuse (oui c’est le cas) passer un peu plus de temps dessus pour essayer de la faire parler. Tout l’art étant de la faire parler sans l’exploiter afin de ne pas se rendre coupable d’intrusion.

Le résultat est au delà de ce que l’on aurait pu imaginer en lançant, le 29 août vers 23h, ce capture the flag d’une envergure sans précédent (3 gus dans un garage) qui se finira le 30 août aux alentours de la même heure… Nous avons décidé de patienter jusque là pour publier ce billet mais l’actualité nous a enfin convaincu à vous livrer les résultats de nos travaux nocturnes.

Comme dit précédemment nous nous sommes concentrés sur des failles simples à trouver ou à exploiter et la liste de celles découvertes est assez évocatrice :
  • Une vingtaine de XSS ;
  • 2 LFI ;
  • Des dizaines de documents accessibles au publics et qui ne devraient pas l’être (certains marqués « confidentiel ») ;
  • Des authentifications défaillante (ou inexistantes !) d’accès à des intranets ;
  • Un grand nombre de fichiers robots.txt qui ont bien orienté nos recherches (merci 🙂 ) ;
  • Des accès aux zones d’administration / phpmyadmin comme s’il en pleuvait ;
  • Des CMS non mis à jour depuis plusieurs années ! Et présentant des vulnérabilités bien connues ;
  • Des logs d’envois de mails / newsletter / de connexion FTP / …
  • Un site en debug qui laisse, si l’on saisit la bonne url, voir les identifiants et mot de passe de connexion à la base de données ;
  • Un script SQL de génération de base de données.
Le XSS ?

Le XSS (Cross Site Scripting) est une faille qui permet de faire exécuter un script arbitraire (initialement non prévu par le site sur lequel on va le faire exécuter) en changeant certains paramètres de l’URL.
Il peut permettre de voler des identifiants de session ou des cookies si il est suffisamment bien utilisé et que ladite URL est envoyée à une personne connectée. Il permet aussi de transformer l’affichage du site pour afficher, par exemple, des formulaires invitant à la saisie de données personnelles qui seront ensuite transmises à un autre site. Pour finir il est egalement possible via du javascript executé sur le navigateur de récupérer des informations personnelles (historique, geolocalisation, …) mais également de récupérer des informations sur le reseau auquel est connecté la personne (scan du reseau,…).

Le LFI ?

Le LFI (Local File Inclusion) est une faille qui permet d’inclure un fichier présent sur le serveur dans la page en cours de visionnage. Ceci peut permettre par exemple de récupérer un fichier de configuration, des logs, certains fichiers confidentiels, … Dans certains cas de figure (nous l’avons vu lors de notre exercice) il est possible d’exécuter du code (php) et donc d’avoir un accès distant sur le serveur vulnérable. Cet accès peut permettre de voir des fichiers, d’en éditer (pages web,…), de lancer des programmes, de rebondir vers d’autres serveurs, télécharger des fichiers (illégaux ?)…
Pour l’exploiter il faudra spécifier le chemin du fichier à récupérer dans l’URL mais ceci est relativement simple à faire lorsque le serveur qui héberge le site en question autorise le listing des répertoires ou l’affichage d’erreurs comme c’est le cas sur presque tous les sites que nous avons visité.

La liste !

Pour des raisons évidentes (on préfère le confort de notre garage) nous ne pouvons pas diffuser les failles trouvées, nous allons en revanche vous lister publiquement tous les sites qui présentent ces vulnérabilités. Nous vous livrons cependant quelques éléments – les moins graves ou deja corriges – découverts pendant cette chasse à la faille.
Une version non censurée de cette liste sera livrée aux autorités afin que ces dernières puissent faire suivre à qui de droit pour que ces failles soient corrigée, ainsi qu’à quelques journalistes si ces derniers s’engagent à ne pas diffuser ces failles tant qu’elles n’ont pas fait l’objet d’une correction.

Ce qui est montrable car corrigé :

  • Sur le site http://interactif.service-public.fr, une splendide Local File Inclusion permettait d’executer du code PHP depuis le site référent en lisant un peu les logs de sa propre connexion. En formattant une URL bien sentie comme celle ci. Il devenait par exemple possible d’obtenir le mot de passe de la base de données.Voici une capture d’un log Apache obtenu par local file inclusion

LFI Service Public
  • Nous avions également pu constater à cette période non moins splendide XSS dans l’application de recherche de l’Assemblée Nationale que l’on retrouvait d’ailleurs sur d’autres sites gouvernementaux dans sa version non patchée. Nous n’allons pas revenir là dessus, tout est ici.
Ce qui n’est pas montrable pas pour l’instant :
Nous avons identifié des vulnérabilités plus ou moins graves sur les sites suivants :

http://questionsfrequentes.service-public.fr/
http://www.stats.environnement.developpement-durable.gouv.fr/
http://www.csti.pm.gouv.fr/
http://www.somme.pref.gouv.fr/
http://questionsfrequentes.service-public.fr/
http://larecherche.service-public.fr/
http://ddaf18.agriculture.gouv.fr/
http://www.service-civique.gouv.fr/
http://www.immigration-professionnelle.gouv.fr/
http://www.prospective-numerique.gouv.fr/
http://forum.assemblee-nationale.fr/
http://agriculture.gouv.fr/
http://www.rhone-alpes.travail.gouv.fr/
http://www.cnml.gouv.fr/
http://www.projetsdeurope.gouv.fr/
https://www.adele.gouv.fr/
http://www.education.gouv.fr/
http://www.pollutionsindustrielles.ecologie.gouv.fr/
http://recherche.application.developpement-durable.gouv.fr/
http://www.projetsdeurope.gouv.fr/
http://www.cnml.gouv.fr/
http://www.premar-manche.gouv.fr/
http://recherche.application.equipement.gouv.fr/
http://www.coe.gouv.fr/
http://www.ofpra.gouv.fr/
https://admisource.gouv.fr/
http://www.datar.gouv.fr/
http://www.ira-lyon.gouv.fr/
http://www.droitsdesjeunes.gouv.fr/
http://sig.ville.gouv.fr/
http://www.telecom.gouv.fr/
http://www.hci.gouv.fr/
http://www.oncfs.gouv.fr/
http://www.cas.gouv.fr/
http://www.permisdeconduire.gouv.fr/
http://www.europe-en-france.gouv.fr/
http://www.fonction-publique.gouv.fr/
http://www.cete-nord-picardie.equipement.gouv.fr/
http://www.minefi.gouv.fr/
https://mioga.minefi.gouv.fr/


Qu’en déduire de l’applicabilité de la négligence caractérisée ?

Ce type de failles est très simple à exploiter, prévenir ou corriger. Cependant elles sont bien là, bien présentes, dans des institutions qui disposent d’une direction informatique et de moyens, là où le particulier est lui abandonné à son triste sort, condamné à faire confiance à une solution de « sécurisation », en fait un HADOPIPOWARE qui crée plus d’insécurité qu’elle n’en crée.

Dans ce contexte, il nous apparait injuste, voire hypocrite, de faire peser sur le particulier une présomption de culpabilité et de lui interdire d’office tout droit à un procès équitable alors qu’il est lui même victime d’une exposition de ses données personnelles.

Rappelons au passage qu’une institution, même publique, au même titre qu’une entreprise, a elle aussi un devoir de sécurisation des données personnelles de tiers qu’elle stocke. Nous avons ici pu constater que ce n’était pas tout à fait au point. Si la multitude d’entreprises qui a travaillé sur ces différents sites n’est pas capable de sécuriser son travail alors qu’il s’agit de leur métier comment peut-on demander à la boulangère du coin, au maçon du centre ville ou à n’importe quel non-expert en le domaine de faire mieux ?… Et pourtant, tout indique que les entreprises en question étaient bien au courrant de certaines de ces vulnérabilités, en fait, elles en auraient même avertis les administrations concernées qui ont semble t-il manqué de diligence à combler les trous. Nous tenons évidemment ces informations de la bouche de certains de ce prestataires, et nous croyons en leur bonne foi.

Certaines failles découvertes ici (en 24h est-il besoin de le préciser à nouveau ?) permettent de prendre le contrôle du serveur si elles sont exploitées correctement. Qu’arrivera-t-il quand un pirate moins bien intentionné que nous décidera d’en exploiter une pour prendre le contrôle d’un serveur loué par l’état et d’y lancer des téléchargements par exemple ? Un site web, quelques données personnelles, un ou deux mots de passe, et voici une banale histoire de système sensible compromis…

Les sites visités et les failles ici révélées, nous permettent de prendre la mesure de l’inadaptation de la réponse proposée par la loi Création et Internet. Les premiers envois de mails que l’on nous promet imminents interviennent alors qu’aucun dispositif des sécurisation labellisé par la HADOPI n’a pas encore vu le jour. Il est d’ailleurs probable qu’à moins de se compromettre dans une labellisation hasardeuse sur des dispositifs qui opèrent une surveillance mais ne sécurisent en rien une connexion, ce projet reste lettre morte.En attendant, la consultation de la Haute Autorité sur cette question a été prolongée jusqu’à fin octobre, il est important que les professionnels qui y répondront gardent en tête une chose :
  • Soit on spécifie un dispositif imaginaire qui patchera même les failles des applications des postes clients alors que les éditeurs de ces applications ne les patchent pas eux mêmes.
  • Soit on spécifie un mouchard avec toutes les conséquences en terme de sécurité et de viol de vie privée que ceci implique.

… messieurs, vous êtes maintenant face à vos responsabilités. Soit nous poursuivons une stupide course à l’armement que l’État ne peut gagner, soit les autorités, les hackers et les politiques se mettent autour d’une table pour entamer un dialogue sérieux et éclairé.

Par 3 gus dans un garage
Paul Da Silva
Paul Rascagneres (aka RootBSD)
Olivier Laurelli (Bluetouff)

65 réponses sur “Le scandale des sites gouvernementaux qui se négligent”

  1. Effarant. Juste effarant. La France a beau se pavaner puissance nucléaire, ses systèmes informatiques sont à la merci de la première « cyber-escarmouche » qui se présente.

    L’internet bisounours des années 1980, c’est fini. Mais alors exiger la sécurisation des accès internet par les abonnés, c’est du complet foutage de gueule.

    1. je n’ai pas compris le lien vers Riester…

      Quoi qu’il en soit, c’est très courageux, dans un gouvernement où le roi n’a qu’à pointer du doigt pour que sanction soit exécutée ( http://eco.rue89.com/2010/07/28/hadopi-il-y-a-un-an-j-ai-ete-licencie-par-tf1-160269 ; http://www.tf1.fr/tf1-et-vous/reponse-a-vos-questions/bonjour-pouvez-vous-expliquer-le-licenciement-de-mr-jerome-bourreau-4406123.html ), de démontrer des failles aussi critiques de basiques, sur des sites gouvernementaux.

      Reste à espérer que sa susceptibilité ne sera pas trop touchée par ce « fais c’que je dis, fais pas c’que je fais », histoire, même si vous êtes partie d’une bonne intention,
      http://fr.wikipedia.org/wiki/Serge_Humpich

      d’éviter que ca se termine une nouvelle fois en boucherie:
      http://www.legalis.net/jurisprudence-decision.php3?id_article=1200

  2. On imagine d’ici qu’une journée d’action sur ces sites aurait un impact médiatique fort et ridiculiserait le gouvernement actuel.

    Beau travail d’audit en sécurité! 😉

    Cdt
    Cpolitic

  3. Hum j’ai pris quelques sites au hasard, lancé Sandcat et Pangolin et effectivement il y a quelques phailles. Et pourtant je suis tout seul et même pas dans un garage 😀

    Mais quand on voit que certains sites sont carrément laissés à l’abandon (http://www.cete-nord-picardie.equipement.gouv.fr/) et souvent avec des agendas qui s’arrêtent en 2005, on se dit qu’ils sont bien fautifs quand même.

    Au même titre que si vous aviez cherché du filetype:xls intitle:**** site:gouv.fr on aurait eu de belles perles 🙂

      1. Je vois d’avance la réaction de TF1 : « Des hackers ont tenté de pirater sites gouvernementaux, des recherches ont été menées, et les vilains pirates ont été retrouvés. Actuellement auditionnés par les autorités, ils risquent jusqu’à 10 ans de prison et 75000 euros d’amende »

        Dans le genre, TF1 excelle dans la désinformation.

  4. Rôôôôôôh les méchants monsieur !
    C’est tous des cyber-nazis.

    On devrait bloquer ce site de propagande néo-communiste pour incitation au piratage. Traîtres à la patrie !

    En plus je suis sûr que ces trois satanistes hébergent du contenu pédopornographique sur leurs sites. Genre Martine à la plage.

  5. Et puis, ça, ce n’est sûrement que la partie émergée de l’iceberg. Il doit y en avoir encore beaucoup qui sont l’œuvre de vrai pirate (employé, sous-traitant, etc. indélicat) qui connaît son métier, et qui fait ça bien. La partie négligence est visible, mais la partie malveillance ne l’est pas (de l’extérieur en tout cas).

    C’est ça le problème. Pour faire cesser la négligence, il faut au moins faire le minimum. Mais pour éviter les malveillances, les indélicatesses, etc. il faut voir plus loin, il faut prévoir, etc.

    Alors, c’est un peu difficile à croire : quand quelqu’un qui ne fait pas le minimum, dit qu’il est (ou qu’il va être) au maximum… c’est juste pas crédible !

  6. Comme le SQL Injection, je ne pensais pas que des failles comme Local File Inclusion étaient encore exploitable de nos jours.

    En tout cas bravo, avez vous envoyé le premier courrier d’avertissement à ces sites ? 🙂

  7. z’avez pas peur les gars. ca me rappel le triste sors, a l’époque réserve a Damien Bancal pour avoir voulu aider !
    bref certains sites importes peu, d’autre me font plus peur et je me vois très bien multinationale, payer un black hat pour obtenir certaines infos:
    – chambre d’agri, je suis bayer ou monsanto et j’ai accès au listing des paysans pour leur faire un mailing ciblé
    – minefi.gouv.fr : n’importe qui va pouvoir aller voir ce que déclare Liliane (meme si légalement j’ai le droit d’en faire la demande)
    -premar-manche.gouv.fr rien de moins qu’un site militaire. quand tu vois les emmerdent que tu subit pour avoir une accréditation.
    bref je serais curieux du feedback dans 2 mois sur les memes sites :p

  8. Quel talent ! Il manquerait plus que l’article circule un petit peu histoire que cela soit repris par quelques magazines…
    Faites passer à votre voisin comme dirait l’autre 🙂

  9. Bonjour à tous.

    Merci Bluetouff pour cette article très intéressant et à vrai dire, ceci ne m’étonne pas du tout et je suppose que n’avez pas trop forcé pour trouver ceci.
    Personnellement, j’hésitais déjà à payer mes impôts en CB sur le site adéquat, bah je continuerai à envoyer des chèques hein ?

    Pour revenir sur le contenu, je tiens quand même à préciser que pour coder du site web, on prend des petits techniciens en bac +2 qui n’ont aucune formation en sécurité informatique, la plupart ne sachant même pas ce qu’est une faille XSS ou une injection SQL, on leur colle un ingénieur informatique chef de projet sur le dos qu’on trouve à la pelle dans la rue, tout juste sorti de l’école évidement et on leur demande de faire des exploits en codant tous les jours pendant 10 heures d’affiler comme ceci est coutume dans les SSII. Autrement dit, le manque d’expérience et de savoir fait la différence.
    Le problème vient avant tout des entreprises, qui en plus se font facturer un prix exorbitant quand il s’agit des sites de l’état et de plus n’hésitent pas à déployer des solutions open source pour se faire encore plus de pognon.

    Sérieusement, mais évidement c’est illégal, pourquoi ne pas installer directement des fichiers divx directement dessus ?
    On voit régulièrement le cas avec Zataz qui lance des alertes au sujet de failles sur les sites de l’état…
    Peut être que si les ayants droits portent directement plainte contre l’état pour contrefaçon ça ferait évoluer les choses dans le bon sens.

  10. Et peut on avoir la liste des sites qui ont été testés, histoire de voir la proportion de sites correctement tenus pour ne pas donner prise à la première attaque ?

  11. Bonjour, bluetouff, paul et RootBSD, ce n’est pas une surprise. L’état de la sécurité informatique est aujourd’hui déplorable tout comme le notifie Elskwi.

    A quand le prochain CTF. On peut se monter une bonjourlavuln spécial gouv.fr 🙂

  12. salut a tous

    bonne initiative qui va permettre aux RSSI et aux responsables sécu des sites incriminés d’avoir des ressources et du budget pour sécuriser tout ça … et de mettre en place un vrai cycle d’amélioration et d’audit de SSI …

    (enfin on peut rever …)

    bon c’est vrai que la solution d’interdire les garages et de dissoudre les 3 lascars dans de la chaux serait moins couteux … euh … non ?

  13. Faites gaffe les mecs, sont tellement de mauvaise foi, qu’ils risqueraient de vous mettre en taule pour piratage.
    Rappelez vous de Serge Humpich et des dizaines d’autres cas moins connus.
    On est en république bananière, alors ce genre de truc, faut le dire, mais restez planqués quand même.
    Bon boulot sinon.

  14. Je n’ai pas saisi: vous avez signalé ces failles le 24 août et le 13 elles ne sont toujours pas comblées, ou venez de le signaler maintenant au responsable des sites.

  15. bravo a vous pour ce courage, comme il a été dit ici et là, j’espère que vous avez protégé vos arrières, histoire d’éviter de malheureux déboires…

    Quoi qu’il en soit, je trouve ça hallucinant qu’autant de sites soient vulnérables, et surtout avec des failles vieilles comme le net, ou presque…

  16. C’est un coup à devenir anarchiste!

    Bravo et merci pour l’aide que vous avez porté à nous tous, vos concitoyens.

    En rêvant doucement que ça ne de reproduise plus.

  17. « Tout l’art étant de la faire parler sans l’exploiter afin de ne pas se rendre coupable d’intrusion. »
    Mouais…
    Scanner des organes officiels gov.fr est un délit réprimé par la nouvelle loi sur la sécurité interieure ( assimilé à une pratique terroriste ) – particulièrement le dirbusting
    Faites gaffe ils sont suffisamment cons pour vous bouffer les couilles si vous êtes identifiables via IP, plutôt que de vous accorder une importance.

  18. J’ajoute une source.
    http://www.juriscom.net/documents/secu20031208.pdf
    « Ainsi, tester de sa propre initiative, les faiblesses de la sécurité informatique d’un système, sans être mandaté, par exemple au titre d’un audit de sécurité, ledit système serait-il celui de votre hôpital, celui de votre banque ou celui de votre employeur, est un délit pénal. De manière classique, la motivation ne supprime pas l’intention frauduleuse. »
    Exemple: Zataz

    1. Merci Maman pour la minute juridique, nous connaissons parfaitement la jurisprudence et nous n’avons rien scanné. Je ne sais franchement pas ou vous êtes allé chercher qu’on avait balancé du nmap sur des ranges entiers…

  19. Ca fait des années que 50% des .gouv.fr sont des nids à shells!
    Beaucoup de gens y passent : des kiddi3s pour la plupart qui laissent trainer des sources/binaires (nmap par exemple), dump SQL, scripts ou exploits. L’upload de shell est à la portée de n’importe qui, que ce soit via inclusion locale/distante, injecion sql ou plus simplement via un formulaire d’upload d’image fait à l’arrache.
    Donc il serait temps de ne plus mettre n’importe qui à la gestion des systèmes d’information gouvernementaux (mis à part la défense qui a à sa disposition la DIRISI pour gérer son infrastructure).
    Aprés quelques temps à me balader sur tous les gouv.fr qui bougent, je trouve abbérant de constater qu’il y a encore un nombre incroyable de points d’injections sur des serveurs différents. Toutes les failles accessibles sont dues à de mauvais développeurs (LFI/RFI/SQL) et à de mauvais administrateurs systèmes (pour la plupart des machines visitées: aucunes règles firewall et quand il y en avais, pas une n’était pas bypassable, aucun deamon d’analyse et corrélation de logs …). La palme d’or va sans aucune hésitation à l’éducation nationale, plus préciséments aux serveurs de ses académies respectives (il y .
    Merci d’en avoir fait un article, personnellement je ne l’aurais pas fait. En espérant qu’ils se réveillent.

  20. 1 ce que vous venez de faire est illégal. Il est interdit de lire ou d’écrire des données sur un SI sans y être invité, vous pouvez vous faire arrêter pour ça, plus la préméditation, plus l’association de malfaiteur. Si vous vous en moquez, ça reste comme ça. Il n’est pas admis d’assouvir une vengeance soit même dans une société saine.

    2 ok le mec, ces sites sont des écumoires, je crois qu’il est impossible qu’une administration ait un jour un site web à jour, sécurisé tout simplement parce qu’un site web est un centre de coût, et qui dit pas d’entretien dit… plus de coût. Que le recrutement reste aléatoire. Qu’un CMS demande d’être à l’aise avec les nouvelles technologies et que le non remplacement d’un fonctionnaire sur deux ça signifie vieillissement des fonctionnaires. Qu’une administration a besoin d’un workflow et d’une procédure longue comme le bras pour cliquer sur le bouton mettre à jour: « si jamais ça marche plus? ».
    Le jour ou une administration gagnera de l’argent avec un site web alors là, il sera étanche, sinon c’est fait pour le public… le public sera bienveillant.

    3 la cible. franchement faire chier les trois fonctionnaires derrière le site de l’office national des forêts , c’est un luxe. Zoriez attaqué hadopi, le premier ministre ou le président… mais bon zaurriez surement rien trouvé autre chose qu’une garde à vue pour terrorisme.

    1. Pour la préméditation c’est pas vraiment ça, c’est plus pour le fun… Un exemple simpliste: se lancer un petit marathon sur http://www.google.com/search?q=inurl:gouv.fr+inurl:php+inurl:%26 et s’apercevoir qu’il y a une blind dés la 7e page par exemple, ça donne envie de continuer pour voir jusqu’où on est en droit de s’inquiéter…
      Je crois que tu ne te rends pas compte de la nature critique de la plupart des données qui sont stockées sur ses serveurs (bon pas tous, il y a des infos sans valeur aussi :D). Pour la nature des failles, elles ne sont pas sur des CMS pas mis à jour mais sur des fonctionnalités home-made mal développées (ou modules pour CMS, sutout spip).
      Et dans le cas ou il s’agit d’informations ayant attrait à l’identité, je pense que la question: plus d’entretien, plus de coût ne devrais même pas se poser. Ca pourrais être n’importe qui d’entre nous qui verrais son identité usurpé si des informations étaient utilisées par un tiers malveillant.

  21. 1° Si nous avions voulu assouvir une vengeance quelconque, vous vous doutez bien que nous n’aurions pas publié un billet sur ce blog, mais que nous aurions cherché à exploiter ces failles et défacé quelques sites web… le caractère illégal de cette action est également plus que discutable, nous n’avons pas rendu public les failles trouvées et nous avons alerté les bons organismes.

    2° Vous confondez plusieurs choses. En premier lieu, vous stigmatisez un manque de moyens, je suis parfaitement d’accord sur ce point, et j’ai une proposition concrète : investir 10% de ce qu’on met comme pognon dans HADOPI en pure perte pour le bon plaisir de quelques ayants-droit déjà bien privilégiés. Vous abordez ensuite le rôle d’une administration, sur ce point encore, ma vision limitée et candide de la chose c’est qu’elle est censée servir ses administrés, et non offrir leur données personnelles en pâture au Net…

    3° Je présente mes sincères excuses 3 fonctionnaires de l’office national des forêts (et de l’Assemblée Nationale ou du Ministère des finances) que nous avons indisposé et les terroristes que nous sommes, à vous lire, méritent certainement une garde à vue pour « clicage de liens » publics dans Google.

    … il est tard, reposons nous, demain c’est vendredi, nous aurons le temps de troller 😉

  22. Google n’est pas exempt de failles, le contraire serait surprenant.
    Google dipose de milliers d’applications et de domaines, toutes ne font pas l’objet de la même attention, c’est normal.
    Il n’y a pas de honte à avoir une faille, ce qui est dérangeant, c’est de ne pas les corriger alors qu’on en est informé, particulièrement quand ces dernières exposent des données personnelles.

  23. This Wikileaks thing is troubling. Every country has the right to keep it’s secrets. This Assange guy clearly has a vendetta against the United States. He’s an Austrailian right? Would he like to see all of that country’s secrets spilled out in the open? There is no state in the world that doesn’t have state secrets. What about national defence? One thing that is being overlooked is that sometimes such secrets help to avoid war. Did Assange ever think of that? No….he’s looking to embarass the United States and make a name for himself. I believe his 15 minutes of fame will be over soon enough.

  24. Les chambres de commerces sont également concernées :/

    Des bons à rien qui imposent des choses qu’ils ne comprennent pas.

  25. Vue combien de temps et d’argent ils ont mis dans france.fr, vaut mieux pas qu’ils essayent de sécuriser les *.gouv ça coulerait la France pour de bon 😀

  26. Que 3 hackouilles s’amusent à chercher des vulns sur des sites .gouv.fr c’est une chose. Que l’état soit critiquable du point de vue du niveau de sécurité des ressources en ligne, on est tout d’accord. Mais au final, nos trois petits zorros, qui s’offusquent comme de jeunes vierges, ne cherchent que gloriole et publicité (il donnent leurs noms). Et pire encore, ce qu’il regrettent, comme ils le disent si bien, ce n’est pas qu’il y ait des failles, mais que l’état ne les emploi pas EUX, pour les réparer : Le vrai scandale, c’est quand un prestataire alerte d’une faille importante et que les personnes en charge d’un site web gouvernemental qui exposent des données personnelles de fonctionnaires refusent à ces prestataires , depuis des mois, des années, l’intervention nécessaire à la correction de cette vulnérabilité… ». Ces whites hats, comme ils aiment à être appelé, n’ont qu’une seule envie : gagner de l’argent en faisant peur et en montrant qu’avec eux tout ira bien.

    1. La question de la sécurité informatique est complexe, de toute façon un  » white hat  » ne testera pas un serveur dont il n’ as pas autorité. De plus il faut savoir que le fait de trouver des failles et de les réparer c’ est bien mais on vous a rien demander … Les failles sont plutôt grotesque ce qui n ‘enlève en rien le niveau de dangerosité. Bref le web n’ est pas sécurisé, n’ est pas fait pour mais un hacker avec sans couleur qui contact le responsable du site se fera envoyer chier ou bossera gratos ( au mieux ) au pire il sera puni de tentative et pourquoi pas intrusion dans un système de traitement de données. Pour finir l’ utilisation de logs que je citerai pas ne remplacera jamais un bon audit de code ce que bien sur un attaquant ne peut pas faire.

      1. Personne n’a la prétention ici d’être black, white, gris, blue, vert ni même hacker.

        Il s’agit juste d’une réaction en bonne intelligence pointant du doigt le fait que ce n’est certainement pas à l’HADOPI de s’occuper de la sécurité des données personnelles des particuliers. Ce n’est pas dans leur mission, ce n’est pas leur problème, et personnellement je n’ai pas envie que ça le devienne.
        Pour rappel, la mission de l’hadopi c’est de faire en sorte que les gens ne téléchargent plus illégalement, en aucun cas de s’occuper de ce que nous nous appelons la sécurité, à savoir la protection des données personnelles.

        Il s’agit bien plus d’un petit clin d’oeil que d’autres choses, du moins c’est comme ça que nous l’entendions;

  27. Je ne suis personne, néanmoins quand j’indique à une Web Agency que son site web/infrastructure est mal sécurisé (voir carrément aucune sécurité n’est mise en place).(Si en plus de ça je leur dit exactement où se trouve la faille …)
    J’aimerai qu’on me réponde au moins « merci pour l’info ».

    Car eux ils gèrent une infra, un site web qui contient des tas de données client.
    Si je serais un de leur client je n’aimerai pas que mes données se trouvent un peut partout sur la toile, encore plus si je suis le webmaster.

    On leur rend un service, personnellement je le fais à titre informatif, plus que pour vendre mes services.
    Sur la masse beaucoup voyent l’informatique comme un trou noir, ils n’investissement pas dedans.
    Même une somme dérisoire comparé à leur CA, ils ne veulent pas.

    Quand je vois comment des milliers de gros sites sont hébergés sur du mutualisé « de base » à 10€ / mois il y a de quoi rire.
    Les boutiques e-commerce n’en parlons même pas c’est hors catégorie, les gens ne sont pas sensibilisé.

    L’informatique ça n’est pas que du « bricolage », beaucoup de monde malheureusement pensent qu’en lisant des tuto sur le net ils vont être admin sys/webmaster.

    Ou plutôt les gens sont si « crochu » qu’ils vont tout faire eux même, je pense aux VPS à 10€/mois que l’on voit fleurir tout comme les failles qui vont avec quand on n’a pas un professionnel qui s’en occupe.
    Enfin faille, c’est de la bêtise caractérisé, un simple « aptitude install php5 mysql-server » ne suffit pas à avoir un hébergement digne de ce nom !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.