Bercy s'explique sur les failles des sites gouvernementaux

Défaillance

Mercredi, Le Canard Enchaîné révélait que d’importantes failles avaient été découvertes dans au moins une demi-douzaine de sites gouvernementaux (voir note article : D'importantes failles détectées sur des sites gouvernementaux). Le ministère de l’Économie vient de répondre à nos questions, apportant quelques précisions et démentis sur certaines informations du Canard.

Comme l’affirmait le Canard Enchaîné, c’est bien un problème de logiciel qui est à l’origine de ces failles. « Le 28 août dernier, en fin de matinée, une faille logicielle a été identifiée chez notre prestataire en charge de la maintenance et de l’hébergement des sites internet ministériels, dans l’application Drupal de gestion de ces sites », indique le ministère. Deux problèmes sont ainsi repérés : « la possibilité de récupérer les login des utilisateurs du back office à l’aide d’une syntaxe particulière » d’une part, et, d’autre part, « la page d’accueil du back office, avec les zones d’identification (login/password), était visible sur le front office ».

Il s’avère que le logiciel libre Drupal était bien utilisé dans une version 6.20 contenant des vulnérabilités. Ces dernières avaient pourtant été signalées et corrigées bien avant la détection de ces failles... Un patch correctif a d’ailleurs été appliqué par le prestataire du ministère « dans les deux heures » suivant l'identification des problèmes selon Bercy, qui précise que « les services de sécurité informatique n’ont détecté aucune trace d’intrusion durant la période ».

Le ministère relativise les conséquences des failles

Toutefois, contrairement au Canard Enchaîné, le ministère relativise les conséquences de telles failles : « si une personne mal intentionnée avait pu récupérer les logins des utilisateurs du back office, (en trouvant la syntaxe spécifique), elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau. Cette personne aurait donc été dans l’impossibilité d’acquérir les droits d’administrateurs et de modifier les contenus du site ». Pour le ministère, pas de doute : « En dépit de la faille identifiée, aucune prise de contrôle du site n’était donc possible et aucun contenu n’a pu être modifié par des personnes non habilitées ».

Par ailleurs, l’utilisation d’un mot de passe « password » pour accéder à la fonction d'administrateur d'un des sites (évoquée par le Canard) a été vivement démentie par Bercy.

Le ministère précise enfin avoir « demandé à son prestataire de veiller à mieux sécuriser en continu les sites ministériels ».

Xavier Berne

Journaliste, spécialisé dans les thématiques juridiques et politiques.

Twitter

Le 7 septembre 2012 à 13:13 (18 826 lectures)

Actu Précédente Actu Suivante

Il y a 56 commentaires

INpactien

CryoGen Le vendredi 7 septembre 2012 à 13:25:00 #1

Inscrit le jeudi 12 mai 05 - 1446 commentaires

Le ministère précise enfin avoir « demandé à son prestataire de veiller à mieux sécuriser en continu les sites ministériels ».

Et un vrai contrat avec des clauses de SLA relatives aux mises à jours et correctifs ?

Je suppose que l'état paye un bras le service comme d'habitude.

INpactien

sirius35 Le vendredi 7 septembre 2012 à 13:25:33 #2

Inscrit le vendredi 11 juin 04 - 1038 commentaires

Le ministère précise enfin avoir « demandé à son prestataire de veiller à mieux sécuriser en continu les sites ministériels ».

c'est un peu légers ce type de bourde je trouve pour un prestataire externe censé garantir la sécurité des sites de l'état.... pour un tel service on devrait blinder un max et vérifier continuellement...

Edité par sirius35 le vendredi 7 septembre 2012 à 13:26

INpactien

yukon_42 Le vendredi 7 septembre 2012 à 13:26:02 #3

Inscrit le mardi 19 juin 07 - 1438 commentaires

Toutefois, contrairement au Canard Enchaîné, le ministère relativise les conséquences de telles failles : « si une personne mal intentionnée avait pu récupérer les logins des utilisateurs du back office, (en trouvant la syntaxe spécifique), elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau. Cette personne aurait donc été dans l’impossibilité d’acquérir les droits d’administrateurs et de modifier les contenus du site ». Pour le ministère, pas de doute : « En dépit de la faille identifiée, aucune prise de contrôle du site n’était donc possible et aucun contenu n’a pu être modifié par des personnes non habilitées »

c'est beau d'entendre les gens parler d'un sujet qu'ils ne maitrises pas.....

Edité par yukon_42 le vendredi 7 septembre 2012 à 13:26

INpactien

CryoGen Le vendredi 7 septembre 2012 à 13:29:46 #4

Inscrit le jeudi 12 mai 05 - 1446 commentaires

La date de sortie de drupal 6.20 : 15 décembre 2010

Champion du monde.

EDIT : L'interpreteur de PCI n'aime pas les url contenant des crochets :o
http://drupal.org/node/3060/release?api_version[]=87

Edité par CryoGen le vendredi 7 septembre 2012 à 13:30

INpactien

ActionFighter Le vendredi 7 septembre 2012 à 13:32:25 #5

Inscrit le lundi 7 février 11 - 3407 commentaires

Il s’avère que le logiciel libre Drupal était bien utilisé dans une version 6.20 contenant des vulnérabilités. Ces dernières avaient pourtant été signalées et corrigées bien avant la détection de ces failles... Un patch correctif a d’ailleurs été appliqué par le prestataire du ministère « dans les deux heures », selon Bercy, qui précise que « les services de sécurité informatique n’ont détecté aucune trace d’intrusion durant la période ».

Je comprend pas très bien l'explication là.

Le presta a appliqué le patch corrigeant les vulnérabilités dans les deux heures après la publication de celui-ci. Et deux ans après, aucune montée de version de Drupal n'a été faite, et les vulnérabilités ont été exploitées malgré le patch

Et alors là, c'est le pompon :

« si une personne mal intentionnée avait pu récupérer les logins des utilisateurs du back office, (en trouvant la syntaxe spécifique), elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau. Cette personne aurait donc été dans l’impossibilité d’acquérir les droits d’administrateurs et de modifier les contenus du site ». Pour le ministère, pas de doute : « En dépit de la faille identifiée, aucune prise de contrôle du site n’était donc possible et aucun contenu n’a pu être modifié par des personnes non habilitées »

Edité par ActionFighter le vendredi 7 septembre 2012 à 13:33

INpactien

canard_jaune Le vendredi 7 septembre 2012 à 13:42:36 #6

Inscrit le samedi 11 août 12 - 519 commentaires

includes/bootstrap.inc in Drupal 5.x before 5.12 and 6.x before 6.6, when the server is configured for "IP-based virtual hosts," allows remote attackers to include and execute arbitrary files via the HTTP Host header.

http://www.cvedetails.com/vulnerability-list/...Drupal-6.2.html

Avec une trentaine d'autres vulnérabilités touchant Drupal 6.2, c'est bien pire que ce qu'ils essaient de nous faire croire.

si une personne mal intentionnée avait pu récupérer les logins des utilisateurs du back office, (en trouvant la syntaxe spécifique), elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau.