202 failles critiques dans l'agence de cyber-sécurité US-CERT
Les cordonniers qui vendent la peau de l'ours du soir...
La branche du Department of Homeland Security américain (DHS, leur ministère de la défense) chargé de la protection des réseaux des agences gouvernementales civiles a laissé des milliers de failles sur son propre réseau. Plus précisément, 202 failles critiques ont été repérées à 1 085 reprises, en plus de 106 failles moyennes et 363 failles moins importantes.
Ce département s'appelle US-CERT, pour United States Computer Emergency Readiness Team, soit ironiquement Équipe de Préparation aux Urgences Informatiques Américaine. Elle est rattachée au DHS, qui a du coup chargé son Inspection Générale de vérifier la sécurité des systèmes de cette agence. Les inspecteurs ont utilisé, entre autres, le programme de scans de failles de sécurités Nessus sur tous les systèmes gérés par l'US-CERT.
Dans son rapport publié hier, l'Inspection Générale souligne que son enquête a révélé des manquements élémentaires aux procédures de sécurité informatique. Si le portail privé et le site Internet de l'US-CERT sont bien sécurisés, son réseau interne en Virginie (MOE) pâtit de nombreux logiciels et OS non mis à jour. Le MOE est utilisé pour échanger des mails et accéder à des informations confidentielles. Les principaux défauts de sécurité dont il est victime proviennent d'anciennes versions de Java, d'Acrobat et de divers logiciels de Microsoft, non patchés. Seulement 13 failles ont été trouvées dans les OS, sur des installations de diverses versions de Windows et de la distribution Linux Redhat.
Einstein, le système de détection d'intrusions du gouvernement géré par l'US-CERT, est par contre plutôt bien protégé. C'est heureux, puisqu'il s'agit d'un élément critique du système de cyber-défense américain :
Le rapport recommande finalement, entre autres, que « l'agence mette en place les recommandations de configuration du DHS pour ses routeurs, serveurs et stations de travail liées au programme de cyber-sécurité ». Ces recommandations ont été écrites par l'US-CERT elle-même... Notons que l'agence a depuis l'inspection et avant la publication du rapport patché ses systèmes.
Ce département s'appelle US-CERT, pour United States Computer Emergency Readiness Team, soit ironiquement Équipe de Préparation aux Urgences Informatiques Américaine. Elle est rattachée au DHS, qui a du coup chargé son Inspection Générale de vérifier la sécurité des systèmes de cette agence. Les inspecteurs ont utilisé, entre autres, le programme de scans de failles de sécurités Nessus sur tous les systèmes gérés par l'US-CERT.
Dans son rapport publié hier, l'Inspection Générale souligne que son enquête a révélé des manquements élémentaires aux procédures de sécurité informatique. Si le portail privé et le site Internet de l'US-CERT sont bien sécurisés, son réseau interne en Virginie (MOE) pâtit de nombreux logiciels et OS non mis à jour. Le MOE est utilisé pour échanger des mails et accéder à des informations confidentielles. Les principaux défauts de sécurité dont il est victime proviennent d'anciennes versions de Java, d'Acrobat et de divers logiciels de Microsoft, non patchés. Seulement 13 failles ont été trouvées dans les OS, sur des installations de diverses versions de Windows et de la distribution Linux Redhat.
Einstein, le système de détection d'intrusions du gouvernement géré par l'US-CERT, est par contre plutôt bien protégé. C'est heureux, puisqu'il s'agit d'un élément critique du système de cyber-défense américain :
Le rapport recommande finalement, entre autres, que « l'agence mette en place les recommandations de configuration du DHS pour ses routeurs, serveurs et stations de travail liées au programme de cyber-sécurité ». Ces recommandations ont été écrites par l'US-CERT elle-même... Notons que l'agence a depuis l'inspection et avant la publication du rapport patché ses systèmes.
Source :
Threat Level
Jeff
le 9 septembre 2010 à 14:22
(14 339
lectures)
Actualités et brèves relatives
- 06 / 08 / 2010 : Projet Vigilant : Big Brother ou gros mensonge ?
- 12 / 07 / 2010 : Le logo de l'US Cybercom déchiffré en quelques minutes
- 23 / 06 / 2010 : Proposé en Australie : attrapez un virus, on vous coupe le Net
- 11 / 06 / 2010 : Donner au Président des USA un pouvoir d'urgence sur le net ?
- 10 / 06 / 2010 : Le patron des espions US évoque son plan contre les cybermenaces
- 23 / 07 / 2009 : La cyber-sécurité aux États-Unis est gravement menacée
- 08 / 04 / 2009 : Barack Obama, bientôt autorisé à couper Internet ? Yes I can !
- 19 / 02 / 2009 : Les cyber-attaques contre le gouvernement US ont augmenté
