Analyse - De nombreux députés utilisent des services grand-public comme le webmail. Or, l’accès à ces comptes de messagerie est souvent facile à obtenir en exploitant le système de restauration de mot de passe. Deux députés en ont récemment fait les frais
Trop imprudents les députés français ? A en croire un article publié sur le site des Inrocks, la question mérite en tout cas d’être posée.
Suite à la publication d’un billet sur les travaux de chercheurs britanniques relatifs à la faiblesse du système de question de sécurité des webmail, le journaliste Nicolas Kayser-Bril a reçu des captures d’écran des comptes de messagerie de deux députés : Pierre Forgues et Philippe Goujon.
Pour accéder à ces deux comptes (Laposte.net et Hotmail.com), aucune attaque complexe n’a été nécessaire. L’auteur a simplement exploité le processus de réinitialisation de mot de passe des webmail et passé la barrière, bien fragile, des questions de sécurité.
La question de sécurité : une faiblesse déjà connue
En effet, pour des personnalités publiques comme des députés, les réponses aux questions (ville de naissance de la mère et date de naissance) se sont avérées simples à obtenir.
Pour autant, rien ne véritablement neuf n’est révélé ici, puisque déjà l’année dernière un internaute s’était introduit de manière similaire sur le compte de Sarah Palin, candidate à la vice-présidence américaine. Pour cette dernière, une recherche sur Google avait suffi pour obtenir la réponse à la question de sécurité (soit le lieu où Sarah Palin et son époux s’étaient rencontrés).
Que des élus utilisent des services destinés au grand public comme des webmail ne représente pas en soit un risque, à condition que cet usage se limite à la sphère privée. Philippe Goujon se défend d’ailleurs d’avoir pu exposer des données sensibles en expliquant n’utiliser sa messagerie Hotmail qu’à des fins privées.
Ce compte Hotmail est pourtant celui mentionné par le député sur sa fiche descriptive mise en ligne sur le site de l’Assemblée nationale. Les administrés souhaitant contacter le député de Paris ont donc bien la possibilité de le faire en lui adressant un email sur son compte Hotmail. Cela ne signifie pas pour autant que ce compte puisse héberger des documents confidentiels.
Intrusion dans un Web : 1ère étape pour d’autres attaques ?
Cependant l’accès à un tel compte peut permettre d’imaginer différents scénarios d’attaque et/ou actes de malveillance. Si le carnet d’adresses du député comprend les contacts d’autres élus, un attaquant pourrait ainsi, grâce à de l’usurpation d’identité, abuser ses destinataires et les inciter à exécuter une application de type cheval de Troie, ou à ouvrir une page Web piégée.
Un tel scénario permettrait théoriquement d’obtenir l’accès, non plus seulement à un compte de messagerie, mais à un ordinateur susceptible lui de stocker des informations. Un rapide coup d’oeil sur les fiches des députés français permet de constater que nombre d’entre eux utilisent des webmail.
Comme n’importe quel utilisateur, lors de la création d’un compte, ces députés ont peut-être pioché dans la liste des questions de sécurité pré-générées par le service de messagerie. Cela rend donc potentiellement leurs comptes plus faciles à pirater.
Par sécurité, il est toujours recommandé de personnaliser la question de sécurité, et de préférence, de se référer à une information non publique. Dans l’exercice de leur mandat, et compte tenu du rôle croissant d’Internet, les élus gagneraient sans doute, au même titre que tout internaute, à être sensibilisés à la sécurité.
L’ANSSI (l’Agence nationale de la sécurité des systèmes d’information) met à disposition, sur son portail de la sécurité informatique, de multiples fiches pratiques afin, par exemple, d’apprendre à créer un mot de passe robuste, ou à sécuriser sa navigation.
par Christophe Auffray, ZDNet France. Publié le 16 mars 2010
Source : ZDNet
