On nous l’a dit et répété, n’importe quel DSI le sait : la sécurité ce n’est pas un produit, c’est un process. Les récentes mésaventures de sites gouvernementaux français qui « auraient » été la cible de cyber attaques venues de Chine (enfin on présume) … et qui « auraient » été le fait d’un trojan dans des documents MsWord (ahahahah! Get a wiki!) m’ont rappelé les heures qui ont fait la gloire de Kitetoa et d’autres curieux …
C’est donc avec un outil de hacker Chinois, Google, qui tourne sur un cluster de machines Linux, qui comme chacun le sait est l’oeuvre de hackers chinois lui aussi, que je me suis amusé à taper quelques recherches qui laissent un peu rêveur. En fouinant un peu, vous y trouverez de nombreuses perles, que ce soit au Ministère de la Défense, encore au Ministère de la Défense, au Ministère de l’aménagement du Territoire qui nous offre une belle application cartographiant l’éligibilité des entreprises à l’ADSL, le CTSI qui nous offre quelques informations sympas dans des logs FTP générées par un immonde outil Windows (ben oui Isabelle ça laisse des traces ton truc!), . .. j’en passe et des meilleures, sachez simplement que cette même recherche présente des résultats que nous n’avons pas souhaité directement linker ici.
En creusant un peu, avec notre outil de hacker chinois, on se rend compte que de nombreux sites gouvernementaux tournent sous le serveur d’application Zope (c’est un secret de polichinel) et le système de Gestion de contenu CPS (Collaborative Portal Serveur) qui dans sa version Zope / Python n’est plus maintenu puisque Nuxeo a décidé de switcher de Python à Java… on imagine bien le casse tête que ça doit représenter pour certains de ces sites . Zope présente de nombreux atouts en terme de sécurité et l’application CPS est l’oeuvre de gens qui savent coder, cependant, n’étant plus maintenue, elle n’est pas sans poser quelques problèmes. Zope, de son côté pourra sans soucis tourner avec un CMS maintenu par une vaste communauté de particuliers comme d’entreprises … Mais qu’attendez vous pour migrer que diantre !
Nos recherches font état d’une disparité hallucinante en termes de technologies, de choix d’architectures et de sécurité : du site en php avec le passwd.txt indexé dans Google au site html laissant des « path disclosure » dans les logs situés dans les répertoires non indéxés…L’utilisation de serveur applicatif n’est pas une solution à elle seule. Zope lui même n’est pas exempt de courants d’air mais à chaque fois, comme chez nous, ils sont l’oeuvre d’admins qui ne font clairement pas leur boulot… voici d’ailleurs le genre d’horreurs que l’on peut trouver, ici à l’université de Washington(g) comme le soulignait un grand hackers chinois du 3e siècle avant l’informatique quantique, ou sur le site du sénat brésilien, ou encore sur ce site militaro-machin américain où on offre carrément en téléchargement public un Data.fs qui contient par exemple tous les mots de passes et les identifiants de l’application stockés en CLAIR 🙂 . Ne riez pas de nos camarades syndiqués américains car quand une de nos préfectures a des travaux à faire sur son site et qu’elle passe par un prestataire externe, elle ne lui ouvre pas un accès ssh pour « d’évidentes raison de sécurité » … elle envoie une image DVD du système de fichier du serveur avec notre beau data.fs et tous les mots de passe de tout le monde, c’est bien plus secure après tout hein ?…
Messieurs de grâce, nos systèmes, s’ils ne sont pas encore la risée des hackers chinois, présentent des faiblesses toutes dues aux mêmes problèmes : l’ignorance et le je m’en foutisme … et ne venez pas nous dire que c’est un manque de moyens. Nos process sont bancals, on laisse faire à n’importe qui n’importe quoi, et un jour, des hackers chinois …
quelques liens sont devenus morts… tu dois être sur écoute 😉
😀 S’ils ont réparé depuis c’est très bien. Mais je doutes que ce genre de post suffise à leur faire prendre conscience que la sécurité est une histoire de process et non de logiciels 😉