Des sites gouvernementaux accusés de "négligence caractérisée"

Olivier Robillart
Publié le 13 septembre 2010 à 12h07
Afin de montrer que la loi Hadopi reposait sur des bases juridiques instables, 3 blogueurs ont décidé de mettre le gouvernement devant ses responsabilités. En dévoilant des failles sur des sites gouvernementaux, Paul Da Silva, Paul Rascagneres (RootBSD) et Olivier Laurelli (Bluetouff) veulent montrer que les services du gouvernement sont en flagrant délit de « négligence caractérisée ».
0096000003204998-photo-danger.jpg

Pour rappel, la loi Hadopi ne condamne pas le fait d'avoir téléchargé illégalement une œuvre mais invoque le « défaut de sécurisation d'une ligne Internet ». Cette négligence caractérisée s'apparente alors au manque de diligence requise, de mesures prises pour bien sécuriser ses accès. Les trois blogueurs ont donc mis en application ce principe...

Ils ont mis le doigt sur un problème aussi vieux que la sécurité informatique. Le fait est qu'une société ou un organisme public n'a aucune obligation de dévoiler ou de rendre compte de ses failles de sécurité. Si un internaute découvre une vulnérabilité, il peut alors en informer la société et doit alors attendre une éventuelle réparation avant de la communiquer. A défaut, il peut être accusé d'intrusion.

Résultat de ce mode de fonctionnement, 36 sites gouvernementaux sont épinglés. Parmi eux, certains portails sont relatifs au minis­tère des finances, au secré­ta­riat d'Etat à la pros­pec­tive et au numé­rique, au minis­tère de l'agriculture, ou bien encore à celui du pre­mier ministre. Bluetouff explique sur son blog qu'il a relevé une vingtaine de failles XSS (autorisant le Cross site scripting), deux failles LFI (Local File inclusion). De même, « des dizaines de documents accessibles au publics et qui ne devraient pas l'être (certains marqués confidentiel), des authentifications défaillante (ou inexistantes) d'accès à des intranets, un grand nombre de fichiers robots.txt, des accès aux zones d'administration, phpmyadmin, des CMS non-mis à jour depuis plusieurs années, des logs d'envois de mails, de newsletter, de connexion FTP » ont été découverts.
0168000003541100-photo-bluetouff-failles.jpg

A la loupe, une quarantaine de sites officiels s'avèrent être insuffisamment protégés. Pourtant, l'opération menée par les 3 blogueurs n'a duré, selon eux, que 24 heures et visait à montrer qu'en l'état actuel des choses, la négligence caractérisée est difficilement applicable. Leur action a donc le mérite de pointer du doigt certains pans de la sécurité informatique que le pouvoir politique a mis de côté.

La loi Détraigne-Escoffier pourrait palier ce manque. Bien que taclée par une partie de la majorité présidentielle, certains de ses articles prévoient d'obliger, ou au moins encourager, les professionnels à notifier leurs failles de sécurité. Le texte doit encore passer devant le Sénat...
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles