Magazine Internet

Google KungFu : que vaut réellement la sécurité informatique de nos infrastructures web gouvernementales ?

Publié le 20 septembre 2007 par Olivier Laurelli

On nous l’a dit et répété, n’importe quel DSI le sait : la sécurité ce n’est pas un produit, c’est un process. Les récentes mésaventures de sites gouvernementaux français qui “auraient” été la cible de cyber attaques venues de Chine (enfin on présume) … et qui “auraient” été le fait d’un trojan dans des documents MsWord (ahahahah! Get a wiki!) m’ont rappelé les heures qui ont fait la gloire de Kitetoa et d’autres curieux …

C’est donc avec un outil de hacker Chinois, Google, qui tourne sur un cluster de machines Linux, qui comme chacune le sait est l’oeuvre de hackers chinois lui aussi, que je me suis amusé à taper quelques recherches qui laissent un peu rêveur. En fouinant un peu, vous y trouverez de nombreuses perles, que ce soit au Ministère de la Défense, encore au Ministère de la Défense, au Ministère de l’aménagement du Territoire qui nous offre une belle application cartographiant l’éligibilité des entreprises à l’ADSL, le CTSI qui nous offre quelques informations sympas dans des logs FTP générées par un immonde outil Windows (ben oui Isabelle ça laisse des traces ton truc!), . .. j’en passe et des meilleures, sachez simplement que cette même recherche présente des résultats que nous n’avons pas souhaité directement linker ici.

En creusant un peu, avec notre outil de hacker chinois, on se rend compte que de nombreux sites gouvernementaux tournent sous le serveur d’application Zope (c’est un secret de polichinel) et le système de Gestion de contenu CPS (Collaborative Portal Serveur) qui dans sa version Zope / Python n’est plus maintenu puisque Nuxeo a décidé de switcher de Python à Java… on imagine bien le casse tête que ça doit représenter pour certains de ces sites . Zope présente de nombreux atouts en terme de sécurité et l’application CPS est l’oeuvre de gens qui savent coder, cependant, n’étant plus maintenue, elle n’est pas sans poser quelques problèmes. Zope, de son côté pourra sans soucis tourner avec un CMS maintenu par une vaste communauté de particuliers comme d’entreprises … Mais qu’attendez vous pour migrer que diantre ! Nos recherches font état d’une disparité hallucinante en termes de technologies, de choix d’architectures et de sécurité : du site en php avec le passwd.txt indexé dans Google au site html laissant des “path disclosure” dans les logs situés dans les répertoires non indéxés…

L’utilisation de serveur applicatif n’est pas une solution à elle seule. Zope lui même n’est pas exempt de courants d’air mais à chaque fois, comme chez nous, ils sont l’oeuvre d’admins qui ne font clairement pas leur boulot… voici d’ailleurs le genre d’horreurs que l’on peut trouver, ici à l’université de Washington(g) comme le soulignait un grand hackers chinois du 3e siècle avant l’informatique quantique, ou sur le site du sénat brésilien, ou encore sur ce site militaro-machin américain où on offre carrément en téléchargement public un Data.fs qui contient par exemple tous les mots de passes et les identifiants de l’application stockés en CLAIR

:)
. Ne riez pas de nos camarades syndiqués américains car quand une de nos préfectures a des travaux à faire sur son site et qu’elle passe par un prestataire externe, elle ne lui ouvre pas un accès ssh pour “d’évidentes raison de sécurité” … elle envoie une image DVD du système de fichier du serveur avec notre beau data.fs et tous les mots de passe de tout le monde, c’est bien plus secure après tout hein ?

… Messieurs de grâce, nos systèmes, s’ils ne sont pas encore la risée des hackers chinois, présentent des faiblesses toutes dues aux mêmes problèmes : l’ignorance et le je m’en foutisme … et ne venez pas nous que c’est un manque de moyens. Nos process sont bancals, on laisse faire à n’importe qui n’importe quoi, et un jour, des hackers chinois …


Vous pourriez être intéressé par :

Retour à La Une de Logo Paperblog

Ces articles peuvent vous intéresser :

  • American Airlines attaque Google

    La compagnie aérienne américaine numéro un mondial vient d’annoncer qu’elle portait plainte ce vendredi contre le moteur de recherche. Lire la suite

    Par  Clement Donzel
    INTERNET, MOTEUR DE RECHERCHE
  • Google partenaire de CNN.com

    Le moteur de recherche vient d’annoncer la signature d’un accord d’exclusivité de 3 ans avec le très réputé site d’information en ligne CNN.com. Lire la suite

    Par  Clement Donzel
    INTERNET, MOTEUR DE RECHERCHE
  • Google Voice Local Search

    Le géant des moteurs de recherches a lancé un nouveau service aux Royaume Uni et aux Etats-Unis: Google Voice Local Search. Le but est de vous trouver la... Lire la suite

    Par  Vincent Gache
    BLOG, INFORMATIQUE, INTERNET, MOTEUR DE RECHERCHE
  • Google et BMW

    Est-ce important de parler d'un constructeur automobile sur un blog consacrer au web actuel ? La rĂŠponse est sans aucun doute, oui ! Lire la suite

    Par  Franck Hashas
    EBUSINESS, FINANCES, INTERNET, MARKETING & PUBLICITÉ
  • Recherche Google - Télécharger Google

    Recherche Google Télécharger

    Juste un petit post pour parler de Google.Rien de nouveau aujourd'hui chez Google (pas plus de nouveautés que les autres jours, dirons-nous... Lire la suite

    Par  Olivier
    BLOG, EBUSINESS, FINANCES, INTERNET
  • Google Shared Stuff : bookmarking vu par Google

    Google a discrètement lancé un service appelé “Shared Stuff”: un bookmarklet pour partager des liens vers des pages web. Une fois installé, un simple bouton... Lire la suite

    Par  Mehdi
    EMARKETING, INTERNET
  • Google Shared Stuff…bof!

    Google Shared Stuff…bof!

    Google a discrètement lancé aujourd’hui un nouveau service de signets sociaux qui se nomme Google Shared Stuff. Fidèle à la philosophie de cette entreprise, ce... Lire la suite

    Par  Benoit Descary
    INTERNET, WEB2.0

A propos de l’auteur


Olivier Laurelli 9300 partages Voir son profil
Voir son blog

l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte

Dossiers Paperblog

Magazine