Le site du Grand Paris distribue toujours des malwares

Nous en avions discuté ici en pleine polémique sur le site France.fr. Le site du projet du « Grand Paris », un des sujets brûlant des dernières élections régionales a été compromis. Une mauvaise configuration aurait ouvert la porte à un cross site scripting et surement d’autres joyeusetés, résultant à une compromission du site qui n’est aujourd’hui qu’un nid à malware.

J’avais à l’époque prévenu OVH en sa qualité d’hébergeur mais ce dernier, malgrés les plusieurs tentatives de contact (mail/twitter), n’a jamais daigné répondre, il était bien plus bavard sur le topic chaud du moment, France.fr, qu’il s’est proposé d’héberger… surement plus porteur en terme de communication. C’est dans un sens plutôt normal car OVH n’infogère pas ce site, son rôle se limitant à l’hébergement, il n’est donc pas missionné pour réparer les sites du gouvernement.

Quinze jours après, la situation n’a pas changé. Le site du Grand Paris, hébergé en sous domaine de celui du ministère la culture présente toujours les mêmes vulnérabilités et distribue toujours autant de malwares.

Mais s’il n’y avait que ça …

Le ministère de la culture dispose de 2 domaines principaux (culture.fr et culture.gouv.fr).Le domaine culture.fr propose plus d’une centaine de sous domaines. Les solutions techniques déployées sont très hétérogènes et certaines datent de Mathusalem. C’est par exemple le cas du catalogue partagé du réseau documentaire de l’administration centrale. Le Tomcat 4.1.18 est en proie à plusieurs vulnérabilités plus ou moins importantes, exploitables à distance, comme une RequestDispatcher directory traversal vulnerability, des vulnérabilités xss sur les servlets (utilisables pour du vol de session par exemple),  j’en passe et des meilleurs…

Je ne m’attends donc pas spécialement à plus de réponse des services concernés, mais il serait bienvenu de la part du ministère de la culture, qui a porté le délit de négligence caractérisée pendant les débats sur HADOPI, qu’il montre le bon exemple. Rien que pour le domaine *.culture.fr, il y a de quoi présenter une nouvelle vulnérabilité critique par jour pendant 1 an.