Des sites gouvernementaux accusés de "négligence caractérisée"

01 juin 2018 à 15h36
0
Afin de montrer que la loi Hadopi reposait sur des bases juridiques instables, 3 blogueurs ont décidé de mettre le gouvernement devant ses responsabilités. En dévoilant des failles sur des sites gouvernementaux, Paul Da Silva, Paul Rascagneres (RootBSD) et Olivier Laurelli (Bluetouff) veulent montrer que les services du gouvernement sont en flagrant délit de « négligence caractérisée ».
0096000003204998-photo-danger.jpg

Pour rappel, la loi Hadopi ne condamne pas le fait d'avoir téléchargé illégalement une œuvre mais invoque le « défaut de sécurisation d'une ligne Internet ». Cette négligence caractérisée s'apparente alors au manque de diligence requise, de mesures prises pour bien sécuriser ses accès. Les trois blogueurs ont donc mis en application ce principe...

Ils ont mis le doigt sur un problème aussi vieux que la sécurité informatique. Le fait est qu'une société ou un organisme public n'a aucune obligation de dévoiler ou de rendre compte de ses failles de sécurité. Si un internaute découvre une vulnérabilité, il peut alors en informer la société et doit alors attendre une éventuelle réparation avant de la communiquer. A défaut, il peut être accusé d'intrusion.

Résultat de ce mode de fonctionnement, 36 sites gouvernementaux sont épinglés. Parmi eux, certains portails sont relatifs au minis­tère des finances, au secré­ta­riat d'Etat à la pros­pec­tive et au numé­rique, au minis­tère de l'agriculture, ou bien encore à celui du pre­mier ministre. Bluetouff explique sur son blog qu'il a relevé une vingtaine de failles XSS (autorisant le Cross site scripting), deux failles LFI (Local File inclusion). De même, « des dizaines de documents accessibles au publics et qui ne devraient pas l'être (certains marqués confidentiel), des authentifications défaillante (ou inexistantes) d'accès à des intranets, un grand nombre de fichiers robots.txt, des accès aux zones d'administration, phpmyadmin, des CMS non-mis à jour depuis plusieurs années, des logs d'envois de mails, de newsletter, de connexion FTP » ont été découverts.
0168000003541100-photo-bluetouff-failles.jpg

A la loupe, une quarantaine de sites officiels s'avèrent être insuffisamment protégés. Pourtant, l'opération menée par les 3 blogueurs n'a duré, selon eux, que 24 heures et visait à montrer qu'en l'état actuel des choses, la négligence caractérisée est difficilement applicable. Leur action a donc le mérite de pointer du doigt certains pans de la sécurité informatique que le pouvoir politique a mis de côté.

La loi Détraigne-Escoffier pourrait palier ce manque. Bien que taclée par une partie de la majorité présidentielle, certains de ses articles prévoient d'obliger, ou au moins encourager, les professionnels à notifier leurs failles de sécurité. Le texte doit encore passer devant le Sénat...
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

California Wireless dévoile une gamme de casques et d'écouteurs
Inquiétudes sur les motifs de la hausse du Triple-Play
Google va racheter la startup israëlienne QuikSee
Office pour Mac 2011 est finalisé, la date de lancement se précise
Parallels Desktop se dévoile en version 6
AMD Radeon HD 5770 : baisse de prix en réponse à la GeForce GTS 450
Google : Android Froyo n'est
OpenSolaris a un spork : OpenIndiana
Apple arrête la distribution automatique de bumpers le 30 septembre
Sony ouvre un site Web pour se moquer du Kinect
Haut de page