Je ne sais pas si vous avez suivi cet été les déboires informatiques de l'administration britannique. En effet, la Grande Bretagne a perdu récemment les informations de quelques 80 000 délinquants, tout juste sept mois après avoir égaré les informations confidentielles de 25 millions d'enfants, 17.000 numéros de sécurité sociale, ainsi que des informations stratégiques concernant les forces armées présentes en Irak, qui avait été retrouvées dans un train…
En pleine polémique sur le projet Edvige, on nous assure une garantie totale de confidentialité et de sécurité des fichiers de données. Que penser de ces promesses quand on lit le récit de Pascal qui travaille chez un industriel français majeur dans le domaine de l'énergie. A quoi bon prévoir le système de cryptage le plus compliqué possible si le maillon faible de la chaîne se situe entre le clavier et la chaise... celle du développeur en l'occurrence.
Il y a quelques jours, la nouvelle version d'une application dont j'ai la maintenance arrive sur mon bureau. Après son installation et sa configuration, je remarque quelques petits soucis de fonctionnement qui me poussent à analyser plus en avant les fichiers de configuration. Première surprise, il semble que depuis la dernière version, de nombreux fichiers de configuration ont fait leur apparition, spécialement les fichiers comprenant les informations de connexion à la base de données du système. Comme cette application n'est sensée se connecter qu'à une seule base de données, j’entreprends de regarder en détail le contenu de chaque nouveau fichier pour en comprendre son utilité.
Très vite, il apparaît que les fichiers sont en fait des restes de tests des développeurs: des copies du fichier de configuration principal sur lequel on y ajoute un suffixe de deux lettres aléatoires, généralement deux touches du clavier qui se suivent. Alors que tous ces fichiers se ressemblaient comme le code d'un consultant et d'un débutant, l’un d’eux attire plus particulièrement mon attention : en lieu et place des adresses réseaux permettant de se connecter aux bases MySQL de l'entreprise, je vois une adresse pointant vers... une adresse ip publique de chez Free !
Le fichier indique non seulement l'adresse d'une base MySQL personnelle hébergée par Free mais aussi ses informations de connexion. Ni une ni deux ma curiosité est vite assouvie... et je me retrouve sur l'espace d'hébergement de la base de données complète de l'application. En plus de contenir des indications commerciales très sensibles pour la société, cette application stocke aussi tous les identifiants et mots de passe des utilisateurs. Un simple "select * from client" et des lignes détaillées concernant des particuliers, des entreprises et des collectivités locales apparaissent sur mon écran.
Un email à ma direction et un drop database plus tard, ma journée de travail pouvait reprendre, un peut plus sécurisée que le matin même.
Même si les données ne sont pas aussi sensibles qu’un fichier des renseignements généraux, et qu’il s’est avéré que les informations dataient d’avant 2007 et ne concernaient qu’une agence commerciale, on se demande quand même si l’on doit en rire ou en pleurer. Pour se consoler on peut se dire qu’au moins en France on ne risque pas de perdre de données confidentielles … puisque l’on a des backup sur les espaces perso de Free !
Jeu de briques
Snake
Pacman
Bubble