Qwant Mail : le #fail de Linagora

login:root / mdp:Linagora2016 118
image dediée
Crédits : wir_sind_klein Pixabay
Securité

L'ex PDG de Qwant avait expliqué le retard de QwantMail par un « problème de sécurité qui nous a poussé à tout reprendre ». Son équipe SSI avait en effet découvert de nombreuses failles sur une plateforme de Linagora, le « leader français du logiciel libre », destinée à tester QwantMail. Plusieurs ex-salariés déplorent une éthique « privacy by design » de façade.

Annoncé mi-juin 2018 à l'occasion de l'inauguration de son nouveau siège parisien, Qwant Mail était censé voir le jour dans une première version publique avant fin 2018. Pourquoi s'y lancer ? « Parce que les utilisateurs nous demandent du mail avec les engagements de Qwant », répondait alors Éric Léandri, son ex PDG. « L'hébergement, ce n'est pas notre métier de base, mais il y a une demande forte, alors on le fait ». Pas de service en marque blanche donc.

Six mois plus tard, et quelques jours avant Noël, Qwant annonçait avoir noué un partenariat avec Linagora. Ce dernier se présente comme « le leader français du logiciel libre » et se targue d'équiper « près de la moitié de l’État Français permettant ainsi à la France d’être parmi les champions en terme d’eGov au niveau mondial ».

Sa plateforme OpenPaaS, basée sur la suite collaborative OBM (elle-même dévelopée par Linagora), se veut une alternative à celles (mail, chat, calendrier, office etc.) des GAFAM, plus particulièrement Microsoft 365 et la G Suite de Google. Qwant Mail devait alors voir le jour avant le deuxième trimestre 2019, selon ses dirigeants, et « dans une première version test sans chiffrement ».

« Nous travaillons sur la sécurisation des échanges, précisait Michel-Marie Maudet, directeur général de Linagora. Il faut que nous puissions trouver le moyen de les chiffrer de bout en bout car les usages sont différents de ceux en entreprises que nous gérions jusque-là. La feuille de route est définie, mais cela prend du temps ». Sur Twitter, @Qwant_fr n'a eu de cesse, depuis, de répéter que « Qwant Mail arrive bientôt, promis ;-) », en vain. 

En septembre 2019, Clubic publiait une interview d'Éric Leandri, présentée comme une « sorte de droit de réponse » aux problèmes pointés du doigt par de nombreux journalistes et médias ces derniers mois (dont Next Inpact, voir Qwant : en finir avec l'omerta).

À défaut de vraiment répondre aux problèmes auxquels il était confronté, l'ex PDG de Qwant y révélait que, « s'agissant de Qwant Mail, nous avions eu un problème de sécurité l'année dernière, qui nous a poussé à tout reprendre. Nous avions réussi nous-mêmes à trouver des failles de sécurité et à nous hacker. Donc il n'était pas possible de diffuser le service en l'état ».

Les mots de passe root étaient en clair sur le wiki

Nous avons pu récupérer la copie d'un courriel intitulé « Alerte autour de Qwant Mail », adressé le 19 février dernier par l'équipe en charge de la sécurité informatique (SSI) de Qwant à la direction de la société. 

Censée « lever l'alerte une ultime fois sur le choix du partenaire Linagora pour le developpement de Qwant Mail dans les conditions y étant associées », la missive compilait une longue liste de problèmes de sécurité identifiés sur une infrastructure mise à disposition par Linagora pour prototyper Qwant Mail. « Afin de récapituler le contexte pour tous, poursuivait-il, nous avions observé les mois précédents les aberrations suivantes ».

En vrac, l'équipe SSI de Qwant avait ainsi découvert qu'y étaient « exposées » des données (« compte LDAP bot mattermost, administrateur Gitlab, Tokens admin DockerHub, Gitlab interne, Github et compte admin Jenkins ») permettant de lire mais également d'écrire « sur l'ensemble des repos » (dépôts), et donc aussi de « corrompre les builds » (versions de code exécutable), « supprimer l'organisation Linagora de Github », et même « corrompre l'ensemble des instances clients obm utilisateurs etc... ».

Lisez la suite : 90 % de ce contenu reste à découvrir

Seuls nos abonnés peuvent lire l'intégralité de cet article.


chargement
Chargement des commentaires...