près s'être fait griller par Paris Match sur l'affaire du piratage de Bercy, le monde de la presse informatique se devait de trouver son affaire. C'est l'Informaticien qui va s'y coller en premier avec un sujet exclusif : "Le SI des Affaires Étrangères [serait] en accès libre !"...
Effectivement, posé comme ça, la nouvelle donne à réfléchir. Seulement, quand on se donne la peine de creuser un peu, cette nouvelle affaire devient tout de suite moins croustillante puisqu'il s'agit en fait de récupérer le CCTP d'un appel d'offre public, lequel serait une mine d'informations quant à l'organisation de la sécurité du système d'information du Ministère des Affaires Étrangères. Fail ?
Il se trouve que Cryptome a également relayé l'affaire. Eux ne font pas leur mijaurée[1] et nous proposent le dossier complet au téléchargement. Le titre est également pompeux, mais on peut au moins aller voir de quoi il retourne. Et autant vous le dire tout de suite, vous allez être déçus. Car, hormis quelques détails organisationnels pas bien difficiles à récupérer, le fond du papier tient à quelques tableaux qu'on trouvera essentiellement en pages 20, 21 et 22. Tableaux qui listent des équipements et logiciels dont le candidat devra assurer le pilotage en matière de sécurité.
On apprend donc, ô surprise, que le Ministère des Affaires Étrangères utilise du Radware, du BlueCoat, du Cisco, du Juniper, du Windows, des Debian, etc. Avec précision des gammes de produits déployées. Alors effectivement, une telle liste est objectivement quelque peu loquace. N'empêche qu'on est loin du descriptif détaillé auquel on pouvait s'attendre. Pas de schéma d'architecture, pas de numéro de version, pas de niveau de patch, etc. Des informations certes enrichissantes pour quiconque préparerait une attaque contre cette institution, mais pas, à mon avis, quoi que ce soit de décisif.
Et puis évidemment, le téléphone arabe du net a fait son effet. Le lendemain, Zataz reprend l'affaire à son compte, laquelle devient alors une "fuite de documents sensibles"... Documents qui n'en restent pas moins publics, mais qu'on se gardera bien, encore une fois, de pointer... ReadWriteWeb lui emboîte le pas : le Quai d'Orsay serait "attaqué par des pirates". Évidemment, une fois remonté à la source, l'auteur s'aperçoit bien qu'il n'y a pas de quoi fouetter un chat, mais il juge néanmoins tout cela "humiliant". Personnellement, je ne sais pas qui du ministère ou de la presse en ligne et a blogosphère devrait se sentir le plus humilié dans l'histoire. Le premier pour avoir publié trop d'information, ou de façon trop ouverte, ou les seconds qui en font une affaire d'État[2]...
Mon propos n'est pas de dire que le contenu de ce CCTP n'a rien de sensible. Ce dernier contient effectivement trop d'information. D'ici à imaginer que son contenu puisse directement mettre à mal la sécurité de leur système d'information, il y a un pas que je me garderai bien de franchir. D'abord parce que la plupart de ces informations ne sont pas intéressantes pour une compromission, d'autant qu'elles pourront être retrouvée rapidement une fois cette dernière réalisée. Ensuite parce qu'il ne faut pas s'appeler Germaine Soleil pour savoir que les composants les plus exposés et vulnérables de cette liste sont effectivement utilisés. La compromission du système d'information de Bercy, laquelle s'est faite sans l'aide d'un tel document, le démontre clairement.
Mon propos n'est pas non plus de défendre le Quai d'Orsay. Un appel d'offre avec appel à candidature préalable et classification du dossier aurait été, à mon avis, de bonne aloi. D'autant que c'est quelque chose qui se fait régulièrement dans le domaine. Recourir à une telle procédure n'a pas été jugé nécessaire, soit. On peut considérer ça comme une belle boulette.
Ce qui je veux soulever ici, c'est que cette affaire n'est en rien ce qu'on imagine habituellement quand on nous parle de fuite d'information, et encore moins un piratage. Pas de clé USB perdue avec du contenu sensible, pas de document hautement confidentiel qui se retrouve par malheur sur un Web ou un FTP ouvert, pas de gorge profonde distillant des secrets honteux à la presse. Non. Rien de tout ça. Ce document avait vocation à être publié, il l'a été. Qu'on en questionne le contenu, pourquoi pas. Mais d'ici à mettre ça en parallèle de ce qui s'est passé à Bercy...
Notes
[1] L'appel d'offre est public, on peut donc y accéder librement...
[2] En particulier quand se sont les mêmes qui se gaussent à chaque fois que ressort la piste chinoise ;)