S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Bercy s'explique sur les failles des sites gouvernementaux

Défaillance

Mercredi, Le Canard Enchaîné révélait que d’importantes failles avaient été découvertes dans au moins une demi-douzaine de sites gouvernementaux (voir note article : D'importantes failles détectées sur des sites gouvernementaux). Le ministère de l’Économie vient de répondre à nos questions, apportant quelques précisions et démentis sur certaines informations du Canard.

ministère économie

 

Comme l’affirmait le Canard Enchaîné, c’est bien un problème de logiciel qui est à l’origine de ces failles. « Le 28 août dernier, en fin de matinée, une faille logicielle a été identifiée chez notre prestataire en charge de la maintenance et de l’hébergement des sites internet ministériels, dans l’application Drupal de gestion de ces sites », indique le ministère. Deux problèmes sont ainsi repérés : « la possibilité de récupérer les login des utilisateurs du back office à l’aide d’une syntaxe particulière » d’une part, et, d’autre part, « la page d’accueil du back office, avec les zones d’identification (login/password), était visible sur le front office ».

 

Il s’avère que le logiciel libre Drupal était bien utilisé dans une version 6.20 contenant des vulnérabilités. Ces dernières avaient pourtant été signalées et corrigées bien avant la détection de ces failles... Un patch correctif a d’ailleurs été appliqué par le prestataire du ministère « dans les deux heures » suivant l'identification des problèmes selon Bercy, qui précise que « les services de sécurité informatique n’ont détecté aucune trace d’intrusion durant la période ».

Le ministère relativise les conséquences des failles

Toutefois, contrairement au Canard Enchaîné, le ministère relativise les conséquences de telles failles : « si une personne mal intentionnée avait pu récupérer les logins des utilisateurs du back office, (en trouvant la syntaxe spécifique), elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau. Cette personne aurait donc été dans l’impossibilité d’acquérir les droits d’administrateurs et de modifier les contenus du site ». Pour le ministère, pas de doute : « En dépit de la faille identifiée, aucune prise de contrôle du site n’était donc possible et aucun contenu n’a pu être modifié par des personnes non habilitées ».

 

Par ailleurs, l’utilisation d’un mot de passe « password » pour accéder à la fonction d'administrateur d'un des sites (évoquée par le Canard) a été vivement démentie par Bercy. 

 

Le ministère précise enfin avoir « demandé à son prestataire de veiller à mieux sécuriser en continu les sites ministériels ».

Publiée le 07/09/2012 à 13:13

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 56 commentaires

Avatar de CryoGen INpactien
CryoGen Le vendredi 7 septembre 2012 à 13:25:00
Inscrit le jeudi 12 mai 05 - 2000 commentaires
Le ministère précise enfin avoir « demandé à son prestataire de veiller à mieux sécuriser en continu les sites ministériels ».


Et un vrai contrat avec des clauses de SLA relatives aux mises à jours et correctifs ? Je suppose que l'état paye un bras le service comme d'habitude.
Avatar de sirius35 INpactien
sirius35 Le vendredi 7 septembre 2012 à 13:25:33
Inscrit le vendredi 11 juin 04 - 1266 commentaires
Le ministère précise enfin avoir « demandé à son prestataire de veiller à mieux sécuriser en continu les sites ministériels ».


c'est un peu légers ce type de bourde je trouve pour un prestataire externe censé garantir la sécurité des sites de l'état.... pour un tel service on devrait blinder un max et vérifier continuellement...

Edité par sirius35 le vendredi 7 septembre 2012 à 13:26
Avatar de yukon_42 INpactien
yukon_42 Le vendredi 7 septembre 2012 à 13:26:02
Inscrit le mardi 19 juin 07 - 1569 commentaires
Toutefois, contrairement au Canard Enchaîné, le ministère relativise les conséquences de telles failles : « si une personne mal intentionnée avait pu récupérer les logins des utilisateurs du back office, (en trouvant la syntaxe spécifique), elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau. Cette personne aurait donc été dans l’impossibilité d’acquérir les droits d’administrateurs et de modifier les contenus du site ». Pour le ministère, pas de doute : « En dépit de la faille identifiée, aucune prise de contrôle du site n’était donc possible et aucun contenu n’a pu être modifié par des personnes non habilitées »



c'est beau d'entendre les gens parler d'un sujet qu'ils ne maitrises pas.....



Edité par yukon_42 le vendredi 7 septembre 2012 à 13:26
Avatar de CryoGen INpactien
CryoGen Le vendredi 7 septembre 2012 à 13:29:46
Inscrit le jeudi 12 mai 05 - 2000 commentaires
La date de sortie de drupal 6.20 : 15 décembre 2010
Champion du monde.

EDIT : L'interpreteur de PCI n'aime pas les url contenant des crochets :o
http://drupal.org/node/3060/release?api_version[]=87

Edité par CryoGen le vendredi 7 septembre 2012 à 13:30
Avatar de ActionFighter INpactien
ActionFighter Le vendredi 7 septembre 2012 à 13:32:25
Inscrit le lundi 7 février 11 - 9420 commentaires
Il s’avère que le logiciel libre Drupal était bien utilisé dans une version 6.20 contenant des vulnérabilités. Ces dernières avaient pourtant été signalées et corrigées bien avant la détection de ces failles... Un patch correctif a d’ailleurs été appliqué par le prestataire du ministère « dans les deux heures », selon Bercy, qui précise que « les services de sécurité informatique n’ont détecté aucune trace d’intrusion durant la période ».

Je comprend pas très bien l'explication là.

Le presta a appliqué le patch corrigeant les vulnérabilités dans les deux heures après la publication de celui-ci. Et deux ans après, aucune montée de version de Drupal n'a été faite, et les vulnérabilités ont été exploitées malgré le patch

Et alors là, c'est le pompon :
« si une personne mal intentionnée avait pu récupérer les logins des utilisateurs du back office, (en trouvant la syntaxe spécifique), elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau. Cette personne aurait donc été dans l’impossibilité d’acquérir les droits d’administrateurs et de modifier les contenus du site ». Pour le ministère, pas de doute : « En dépit de la faille identifiée, aucune prise de contrôle du site n’était donc possible et aucun contenu n’a pu être modifié par des personnes non habilitées »




Edité par ActionFighter le vendredi 7 septembre 2012 à 13:33

Il y a 56 commentaires

;