Des trous béants dans plusieurs sites gouvernementaux : voilà ce qu’à découvert la semaine dernière un internaute selon les informations du Canard Enchaîné en date d’hier. D’après nos confrères, ce dernier aurait ensuite signalé ces failles à Zataz, qui se serait chargé de transmettre à l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Au total, le Canard Enchaîné parle d’une « demi-douzaine de sites officiels du gouvernement français [concernés], et peut-être davantage ». Parmi eux, on trouve celui du ministère de l’Économie « www.economie.gouv.fr », de l’Emploi « http://travail-emploi.gouv.fr » ou bien encore du Redressement productif « www.redressement-productif.gouv.fr ».
Problème : ces sites étaient édités grâce à Drupal, un logiciel libre de gestion de contenus (CMS) qui n’avait pas été mis à jour. La version du logiciel était vulnérable, mais il faut surtout retenir qu’elle était « affectée d’un vice parfaitement connu, identifié et réparable », souligne le Canard Enchaîné, qui relève que la faille avait été découverte en avril 2010.
On notera par ailleurs que des vulnérabilités concernant ce logiciel ne sont pas rares. L’ANSSI via le CERTA avertissait par exemple en mai 2011 que les versions 7.x antérieures à 7.1 ainsi que les versions 6.x antérieures à 6.21 de Drupal comportaient des risques de « contournement de la politique de sécurité » et d’« injection de code indirecte à distance ». Pour parer à ces vulnérabilités, l’agence renvoyait vers un correctif.
Pour les failles découvertes en avril 2010, le Canard estime que « la négligence des responsables est stupéfiante » au regard des conséquences de cet « oubli » des agents publics. Il s’avère en effet que des personnes mal intentionnées auraient pu acquérir les droits d’administrateur, et donc contrôler chaque site défaillant. Surtout, nos confrères notent qu’un individu aurait pu infecter les machines des visiteurs de virus ou de logiciels espions, ou bien encore récupérer les identifiants et mots de passe de certains utilisateurs.
Autre détail intéressant : le mot de passe permettant d’accéder à la fonction d’administrateur d'un des sites était tout simplement « password »...
Par chance, c’est un internaute visiblement bien intentionné qui a découvert et signalé ces problèmes. Les autorités auraient depuis réparé les brèches en question. Les ministères concernés n'ont pour l'instant pu nous apporter davantage de précisions.
Commentaires (52)
#1
Le coup du password…
" />
#2
Autre détail intéressant : le mot du passe permettant d’accéder à la fonction d’administrateur du site était tout simplement « password »…
Par chance, c’est un internaute visiblement bien intentionné qui a découvert et signalé ces problèmes. Les autorités auraient depuis réparé les brèches en question. Les ministères concernés n’ont pour l’instant pu nous apporter davantage de précisions.
Et après on demande à Mme Michu de sécuriser son accès wifi…
#3
Beh, on n’est pas vendredi ?
#4
Ou pire des individus mal intentionnés auraient pu en profiter pour publier des chiffres faux, par exemple diminuer le nombre de chômeurs.
" />
#5
“Autre détail intéressant : le mot du passe permettant d’accéder à la fonction d’administrateur du site était tout simplement « password »…”
de quel site on parle la ??
l’article parle bien d’une ‘demi-douzaine de sites officiels du gouvernement français et peut-être davantage’ ?
ca manque un peu de cohérence toussa…
#6
Le coup du password, ça peut aussi être un “honey pot”. Enfin j’espère !
#7
Ca fait une mauvaise pub pour Drupal.
Mais c’est les DSI locales qui partent en inde. Si c’est pas noté de mettre à jour les failles et bas ils le font pas.
Cdlt,
Clément
#8
C’est honteux…
Mais vraiment.
#9
Incompréhensible.
#10
#11
#12
#13
#14
#15
#16
merci xavier
#17
Comme quoi, j’ai beau critiquer SPIP (et les dérivés qu’utilisent certains ministères - dont GISEH à l’écologie), il semble plus robuste …
#18
Mouais, c’est pas le big one non plus, faut relativiser. Ok ils auraient du mettre à jour, sans conteste, mais les failles en question ne sont pas extrêmement graves non plus, et ne permettent pas une prise de contrôle du site immédiate :
Avec ça on doit pouvoir piéger un admin (avec un minimum de Social Engineering), mais l’adviso indique bien “The issue can be mitigated by disabling on-screen error display at admin/settings/error-reporting.”. On ne sait pas si le module était activé ou non sur les sites.
“Successful exploitation requires the “Administer themes” permission.” : il faut être authentifié sur le drupal et déjà avoir des droits d’administration.
“When using private files in combination with a node access module, the File module allows unrestricted access to private files.” : 2 conditions qui me semblent improbables sur les sites en question. Au pire on a accès a des fichiers réservés à d’autres personnes. Espérons qu’on n’y trouve pas passwords.xls :)
Par contre l’histoire du mot de passe admin “password”, ça c’est bien scandaleux. A par ça, on ne peut pas dire que des “personnes mal intentionnées auraient pu acquérir les droits d’administrateur”, sans tester les vulnérabilités en question pour savoir si les modules faillibles étaient activés ou non.
Comme toujours avec ce torchon qu’est Zataz, beaucoup de bruit pour pas grand chose. (olala, le forum de Zataz n’est pas à jour, c’est la fin du monde !!
#19
Les sites concernés sont des portails d’information des différents ministères. Les infos ne sont pas si sensibles, si?
Je suis d’accord qu’on mette au pilori des incompétents, mais je ne sais pas si ces sites sont d’une importance extrême. Si on parle du site du SIV ou des impôts, là je révise mon jugement.
#20
#21
#22
Une faille défaut
Ahem…
#23
Comme démontré par NeVes, Zataz comme Le Canard ont voulu jouer l’effet sensationnaliste. Le Canard est plus pardonnable dans le sens où il est “moins” censé maîtriser le sujet informatique.
Ce qui est plus gênant, c’est le manque de concertation et de collaboration entre les services de l’Etat ! L’ANSSI devrait être consultée systématiquement lors de la publication des sites, fussent-ils d’information, gouvernementaux. Ou s’assurer elle-même que ses guidelines sont suivi(e)s !
#24
#25
#26
Ah bah il y a des choses sur lesquelles le gouverme-ment a toujours marché à l’économie…
#27
#28
#29
#30
#31
#32
#33
#34
#35
#36
#37
#38
#39
Autre détail intéressant : le mot de passe permettant d’accéder à la fonction d’administrateur d’un des sites était tout simplement « password »…
Il s’était peut-être dit que personne ne tenterait tellement c’était gros!
#40
#41
#42
Il s’avère en effet que des personnes mal intentionnées auraient pu acquérir les droits d’administrateur
Logique, pour des administrations
Pour le “password”, la question est tout simplement mal posé :
Tapez votre mot de passe ici :
{votremotdepasseici}
#43
Défaut de sécurisation, l’état est condamné à payer 1500 euros à chaque foyer français.
" />
#44
#45
#46
#47
#48
#49
le Canard estime que « la négligence des responsables est stupéfiante »
Eh oui c’est partout pareil, dans la fonction publique aussi : on met des idiots complètement incompétents aux postes de “responsables”, ces brêles ne connaissent en général pas le boulot de leurs subordonnés, comment voulez-vous qu’il n’y ait pas de ratés aussi gros que ca ?
C’est fini le temps du responsable qui faisait ses armes sur le terrain et qui gagnait ses galons, de nos jours les “responsables” ont fait des master de management tout bidons, pour la plupart.. Enfin pour les jeunes.
Par contre je suis surpris des commentaires : je m’attendais à trouver un max de “l’état c’est que des incompétents”, “où vont nos impôts”, “c’est de la faute à la gauche”, etc…
#50
#51
Donc, c’est Jvachez qui a raison, dans le code libre on peut lire les failles de sécurité !?
" /> 
" />
" />
Qu’est ce que le gouvernement attend pour embaucher ce visionnaire !?
#52