Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

40 sites gouvernementaux à la sécurité négligée !

Publié le mardi 14 septembre 2010 par Emilien Ercolani

Trois internautes, bien connus dans le monde du hack, ont eu l’idée vérifier l’état de protection de certains sites gouvernementaux. Selon eux, même alertés sur ces failles, les sites n’ont rien corrigé. Serions-nous face à un cas manifeste de « manque de diligence à sécuriser son accès » ?

En plus de choisir une date symbolique (le 11 septembre), le groupe d’internautes Olivier Laurelli (bluetouff), Paul Da Silva et Paul Rascagneres (RootBSD) s’est « attaqué » aux sites gouvernementaux. Dans un billet posté sur Blutouff, ils s’indignent d’abord « sur le stupide délit de négligence caractérisée et l’obligation légale faite à l’internaute de sécuriser une belle abstraction légale : « la connexion Internet ».

Et puisque ceci devrait être valable pour les citoyens, ils ont décidé d’aller jeter un œil sur les sites du gouvernement. On ne parle donc pas ici de connexion Internet, mais de sécurisation des sites. Ce qui peut, en d’autres circonstances, être d’autant plus préjudiciable. « Avoir un site web qui comporte des trous de sécurité, ce n’est pas une honte », écrivent-ils à juste titre. Mais « Le vrai scandale, c’est quand un prestataire alerte d’une faille importante et que les personnes en charge d’un site web gouvernemental qui exposent des données personnelles de fonctionnaires refusent à ces prestataires, depuis des mois, des années, l’intervention nécessaire à la correction de cette vulnérabilité… pas vu pas pris… ».

Effectivement, difficile d’aller crier au loup quand « nous sommes la cible de hackers chinois… ». Afin d’alerter sur ces failles, ils se sont donc penchés sur certains sites gouvernementaux (40) dont la liste est disponible en cliquant ici.

Et voici les failles qu’ils ont trouvé (sans se rendre coupables d’intrusion !) :
- Une vingtaine de XSS ;
- 2 LFI ;
- Des dizaines de documents accessibles au publics et qui ne devraient pas l’être (certains marqués « confidentiel ») ;
- Des authentifications défaillante (ou inexistantes !) d’accès à des intranets ;
- Un grand nombre de fichiers robots.txt qui ont bien orienté nos recherches (merci ) ;
- Des accès aux zones d’administration / phpmyadmin comme s’il en pleuvait ;
- Des CMS non mis à jour depuis plusieurs années ! Et présentant des vulnérabilités bien connues ;
- Des logs d’envois de mails / newsletter / de connexion FTP / …
- Un site en debug qui laisse, si l’on saisit la bonne url, voir les identifiants et mot de passe de connexion à la base de données ;
- Un script SQL de génération de base de données.
- …

Reste à voir la réaction, ou pas, du gouvernement face à cela.

Source : linformaticien