Mercredi, Le Canard Enchaîné révélait que d’importantes failles avaient été découvertes dans au moins une demi-douzaine de sites gouvernementaux (voir note article : D'importantes failles détectées sur des sites gouvernementaux). Le ministère de l’Économie vient de répondre à nos questions, apportant quelques précisions et démentis sur certaines informations du Canard.
Comme l’affirmait le Canard Enchaîné, c’est bien un problème de logiciel qui est à l’origine de ces failles. « Le 28 août dernier, en fin de matinée, une faille logicielle a été identifiée chez notre prestataire en charge de la maintenance et de l’hébergement des sites internet ministériels, dans l’application Drupal de gestion de ces sites », indique le ministère. Deux problèmes sont ainsi repérés : « la possibilité de récupérer les login des utilisateurs du back office à l’aide d’une syntaxe particulière » d’une part, et, d’autre part, « la page d’accueil du back office, avec les zones d’identification (login/password), était visible sur le front office ».
Il s’avère que le logiciel libre Drupal était bien utilisé dans une version 6.20 contenant des vulnérabilités. Ces dernières avaient pourtant été signalées et corrigées bien avant la détection de ces failles... Un patch correctif a d’ailleurs été appliqué par le prestataire du ministère « dans les deux heures » suivant l'identification des problèmes selon Bercy, qui précise que « les services de sécurité informatique n’ont détecté aucune trace d’intrusion durant la période ».
Le ministère relativise les conséquences des failles
Toutefois, contrairement au Canard Enchaîné, le ministère relativise les conséquences de telles failles : « si une personne mal intentionnée avait pu récupérer les logins des utilisateurs du back office, (en trouvant la syntaxe spécifique), elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau. Cette personne aurait donc été dans l’impossibilité d’acquérir les droits d’administrateurs et de modifier les contenus du site ». Pour le ministère, pas de doute : « En dépit de la faille identifiée, aucune prise de contrôle du site n’était donc possible et aucun contenu n’a pu être modifié par des personnes non habilitées ».
Par ailleurs, l’utilisation d’un mot de passe « password » pour accéder à la fonction d'administrateur d'un des sites (évoquée par le Canard) a été vivement démentie par Bercy.
Le ministère précise enfin avoir « demandé à son prestataire de veiller à mieux sécuriser en continu les sites ministériels ».
