Des sites gouvernementaux victimes de plusieurs failles

Des sites gouvernementaux ont été victimes de plusieurs failles, exploitées pour mener à bien illégalement des activités commerciales très réglementées. Sur un site hébergé par Bercy, on découvrait ainsi des publicités sauvages pour des casinos en ligne. Sur Google, on remarquait par ailleurs de drôles de pub pour du Viagra liées au site du ministère de la Santé.

Depuis 2010, le site MyCyberAutoentreprise.pme.gouv.fr a pour ambition de permettre à l'autoentrepreneur « d’assimiler les compétences nécessaires pour devenir un « patron » performant », « d’être sensibilisé aux  bonnes pratiques de l’entrepreneuriat » ou encore « de progresser dans le pilotage de son activité, pour savoir produire un bien, un service ». Il s’agit en fait d’un jeu en 3D « qui vous permet de tester vos compétences d'autoentrepreneur » dixit la page de présentation. « Après avoir joué à Ma cyber Auto-Entreprise, vous aurez toutes les clés en main pour éviter les pièges et réussir dans votre activité, alors lancez-vous dans le jeu ! »

Cependant, ce site du ministère du Redressement productif et de celui des PME souffre d’une petite quinte de toux numérique lorsqu’on se créé un compte  :

...Ou quand on fait une recherche :

Des pubs pour des casinos entre les murs de Bercy

Mais un problème plus embêtant nous a été signalé par un lecteur. Ainsi, la requête « online casino » site :Gouv.fr sur Google va rechercher spécialement l’expression entre guillemets sur tous les sites gouvernementaux (.gouv.fr). Justement, Google renvoie de curieux résultats sur Ma Cyber Auto-Entreprise :

On trouvait spécialement ces deux pages :

URL initiale

URL initiale

…Qui vous proposent chance, succès et bonheur sur des casinos en ligne. Des pages rédigées en anglais et évidemment non agréées par la très sérieuse Autorité de régulation des jeux en ligne, « gendarme » du secteur des jeux.

Ces pubs sauvages ont été mises en ligne il y a visiblement plus de deux mois. Elles sont en tout cas datées du dimanche 5 janvier 2014. Alertée en fin de semaine dernière par nos soins, la Direction générale de la compétitivité, de l’industrie et des services (DGCIS) a immédiatement fait fermer tout le site, victime selon ses mots d’une « intrusion malicieuse ». Voilà pourquoi Macyberautoentreprise.pme.gouv.fr est désormais en travaux. La DGCIS nous a précisé qu’elle allait poursuivre cette semaine ses investigations afin d'identifier l'origine du problème. 

Du viagra lié à social-sante.gouv.fr

Ce site n’est cependant pas le seul en cause. Si on focalise cette fois sa requête avec l’expression « viagra » site :gouv.fr, le premier lien dirige selon Google vers le site du ministère des Affaires sociales, un site qui était vendredi encore sous SPIP 2.0.10, (une version d'octobre 2009 de ce système de publication d’information partagée). Fait notable : cette pub était mieux référencée que l'action des douanes en matière de saisie de faux cachets de Viagra.

En cliquant sur le lien, l’utilisateur était automatiquement redirigé non sur le site du ministère, mais vers un site tiers - en fait une pharmacie en ligne non agréée qui propose notamment des wagons de Viagra.

Là encore, ce petit désordre a été signalé aux services de Marisol Touraine, ministre des Affaires sociales. « Nous avons bien identifié le problème et les services informatiques du ministère travaillent à le régler ». Tout semble aujourd'hui réglé puisqu'il n'y a plus de trace de Vigra sur le moteur vers social.gouv.fr, mais d’autres sites officiels en .gouv restent encore en souffrance, si l'on en croit les résultats Google.