Trois internautes, bien connus dans le monde du hack, ont eu l'idée vérifier l'état de protection de certains sites gouvernementaux. Selon eux, même alertés sur ces failles, les sites n'ont rien corrigé. Serions-nous face à un cas manifeste de «manque de diligence à sécuriser son accès» ?

En plus de choisir une date symbolique (le 11 septembre), Olivier Laurelli (bluetouff), Paul Da Silva et Paul Rascagneres (RootBSD) s'en sont pris aux sites gouvernementaux. Dans un billet posté sur Blutouff, ils s'indignent d'abord d'une négligence caractérisée des pouvoirs publics alors qu'il est fait obligation à l'internaute moyen, via Hadopi, de sécuriser une belle abstraction légale : « la connexion Internet ».

Et puisque ceci devrait être valable pour les citoyens, ils ont décidé d'aller jeter un œil sur les sites du gouvernement. On ne parle donc pas ici de connexion Internet, mais de sécurisation des sites. Ce qui peut, en d'autres circonstances, être d'autant plus préjudiciable. « Avoir un site web qui comporte des trous de sécurité, ce n'est pas une honte », écrivent-ils à juste titre. Mais « le vrai scandale, c'est quand un prestataire alerte d'une faille importante et que les personnes en charge d'un site web gouvernemental qui exposent des données personnelles de fonctionnaires refusent à ces prestataires, depuis des mois, des années, l'intervention nécessaire à la correction de cette vulnérabilité... pas vu pas pris... ».

Effectivement, difficile d'aller crier au loup quand «nous sommes la cible de hackers chinois...». Afin d'alerter sur ces failles, ils se sont donc penchés sur certains sites gouvernementaux (40) dont la liste est disponible en cliquant ici. On y retrouve notamment celui du Minefi ou de l'Education nationale.

Et voici les failles qu'ils ont trouvé (sans se rendre coupables d'intrusion !) :
- Une vingtaine de XSS ;
- 2 LFI ;
- Des dizaines de documents accessibles au public et qui ne devraient pas l'être (certains marqués « confidentiel ») ;
- Des authentifications défaillantes (ou inexistantes !) d'accès à des intranets ;
- Un grand nombre de fichiers robots.txt qui ont bien orienté nos recherches (merci  ) ;
- Des accès aux zones d'administration / phpmyadmin comme s'il en pleuvait ;
- Des CMS non mis à jour depuis plusieurs années ! Et présentant des vulnérabilités bien connues ;
- Des logs d'envois de mails / newsletter / de connexion FTP / ...
- Un site en debug qui laisse, si l'on saisit la bonne URL, voir les identifiants et mots de passe de connexion à la base de données ;
- Un script SQL de génération de base de données.