S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

D'importantes failles détectées sur des sites gouvernementaux

Une faille défaut

Des trous béants dans plusieurs sites gouvernementaux : voilà ce qu’à découvert la semaine dernière un internaute selon les informations du Canard Enchaîné en date d’hier. D’après nos confrères, ce dernier aurait ensuite signalé ces failles à Zataz, qui se serait chargé de transmettre à l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

portail gouvernement

 

Au total, le Canard Enchaîné parle d’une « demi-douzaine de sites officiels du gouvernement français [concernés], et peut-être davantage ». Parmi eux, on trouve celui du ministère de l’Économie « www.economie.gouv.fr », de l’Emploi « http://travail-emploi.gouv.fr » ou bien encore du Redressement productif « www.redressement-productif.gouv.fr ».

 

Problème : ces sites étaient édités grâce à Drupal, un logiciel libre de gestion de contenus (CMS) qui n’avait pas été mis à jour. La version du logiciel était vulnérable, mais il faut surtout retenir qu’elle était « affectée d’un vice parfaitement connu, identifié et réparable », souligne le Canard Enchaîné, qui relève que la faille avait été découverte en avril 2010.

 

On notera par ailleurs que des vulnérabilités concernant ce logiciel ne sont pas rares. L’ANSSI via le CERTA avertissait par exemple en mai 2011 que les versions 7.x antérieures à 7.1 ainsi que les versions 6.x antérieures à 6.21 de Drupal comportaient des risques de « contournement de la politique de sécurité » et d’« injection de code indirecte à distance ». Pour parer à ces vulnérabilités, l’agence renvoyait vers un correctif.

 

Pour les failles découvertes en avril 2010, le Canard estime que « la négligence des responsables est stupéfiante » au regard des conséquences de cet « oubli » des agents publics. Il s’avère en effet que des personnes mal intentionnées auraient pu acquérir les droits d’administrateur, et donc contrôler chaque site défaillant. Surtout, nos confrères notent qu’un individu aurait pu infecter les machines des visiteurs de virus ou de logiciels espions, ou bien encore récupérer les identifiants et mots de passe de certains utilisateurs.

 

Autre détail intéressant : le mot de passe permettant d’accéder à la fonction d’administrateur d'un des sites était tout simplement « password »...

 

Par chance, c’est un internaute visiblement bien intentionné qui a découvert et signalé ces problèmes. Les autorités auraient depuis réparé les brèches en question. Les ministères concernés n'ont pour l'instant pu nous apporter davantage de précisions.

Publiée le 06/09/2012 à 10:33

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 52 commentaires

Avatar de ngcubeur INpactien
ngcubeur Le jeudi 6 septembre 2012 à 10:38:07
Inscrit le lundi 5 mai 03 - 4453 commentaires
Le coup du password...
Avatar de FrenchPig INpactien
FrenchPig Le jeudi 6 septembre 2012 à 10:38:33
Inscrit le mercredi 4 mars 09 - 3780 commentaires
Autre détail intéressant : le mot du passe permettant d’accéder à la fonction d’administrateur du site était tout simplement « password »...

Par chance, c’est un internaute visiblement bien intentionné qui a découvert et signalé ces problèmes. Les autorités auraient depuis réparé les brèches en question. Les ministères concernés n'ont pour l'instant pu nous apporter davantage de précisions.

Et après on demande à Mme Michu de sécuriser son accès wifi...
Avatar de ano_634964033528556218 INpactien
ano_634964033528556218 Le jeudi 6 septembre 2012 à 10:39:07
Inscrit le lundi 2 janvier 06 - 1383 commentaires
Beh, on n'est pas vendredi ?
Avatar de TaigaIV INpactien
TaigaIV Le jeudi 6 septembre 2012 à 10:39:31
Inscrit le mercredi 1 octobre 08 - 10994 commentaires
Ou pire des individus mal intentionnés auraient pu en profiter pour publier des chiffres faux, par exemple diminuer le nombre de chômeurs.
Avatar de saf04 INpactien
saf04 Le jeudi 6 septembre 2012 à 10:39:42
Inscrit le samedi 2 octobre 10 - 3066 commentaires
"Autre détail intéressant : le mot du passe permettant d’accéder à la fonction d’administrateur du site était tout simplement « password »..."

de quel site on parle la ??

l'article parle bien d'une 'demi-douzaine de sites officiels du gouvernement français et peut-être davantage' ?

ca manque un peu de cohérence toussa...

Il y a 52 commentaires

;