Le réseau en délit de fuites

Les entreprises négligent la sécurité

 

Le Web ne serait-il donc qu'une gigantesque passoire? Avec la floraison, ces derniers jours, d'histoires d'informations confidentielles en libre accès sur le Net, on pourrait le croire. Il y a tout d'abord ces 15 700 clients de la banque Western Union, spécialisée en transferts d'argent internationaux, qui se sont fait siphonner, vendredi dernier, leurs numéros de cartes bancaires par de petits malins. La raison? Le fichier avec la liste des informations s'est retrouvé pendant quelques heures sur le Web, sans aucune protection, à l'occasion d'une opération de maintenance. Un peu comme si la banque avait affiché les coordonnées de ses clients sur la vitrine d'un de ses bureaux. 

«Vulnérabilités». En août, c'est Bull qui s'est vautré dans une opération «disque dur ouvert»: des pages de son site, aisément accessibles, exhibaient des textes internes sur la politique financière, ou encore les détails de contrats signés avec certains clients. Et lundi, le General Accounting Office (GAO), aux Etats-Unis, sorte de Cour des comptes américaine mais dépendante du Congrès, a rendu un rapport alarmiste: 24 agences fédérales présentent des «vulnérabilités sérieuses et généralisées» de leurs systèmes informatiques. Les rapporteurs citent, entre autres, une liste détaillée des numéros de Sécu, des adresses et des coordonnées bancaires de certains salariés du ministère de la Défense, qui s'est retrouvée par inadvertance en libre accès sur le Web. 

Bien sûr, tous minimisent les pépins. Western Union évoque une «erreur humaine». Bull parle d'informations «pas vraiment confidentielles». Bref, officiellement, rien de bien grave. «Si, c'est grave!», s'agace le Français Kitetoa, pseudonyme du webmestre du site éponyme (1), spécialisé dans l'épinglage des entreprises coupables de telles négligences. Il estime que trop de boîtes se lancent sur le Net «avec précipitation, sans mener une réflexion de base sur la sécurité». Un peu léger à une époque où nous confions un nombre toujours plus important d'infos confidentielles à des entreprises avec pignon sur Web. Et où se multiplient les bases de données peu ou prou reliées au réseau. 

«Défense d'entrer.» La révélation de l'affaire Bull, c'est lui. La découverte de certains détails mal protégés du projet de Ze Bank, la future banque en ligne de Bernard Arnault, c'est encore lui. Deux «victimes» de sa croisade parmi des dizaines d'autres. A chaque fois, sa méthode est la même: il n'utilise qu'un logiciel de navigation classique, comme Netscape ou Explorer, celui que tout internaute possède sur son ordinateur. Et n'utilise ni méthode illégale, ni programme de hacker pour s'infiltrer. «La seule chose que je fais, c'est me connecter sur des serveurs mal configurés.» Autrement dit: Kitetoa ne force aucune porte, mais explore des coffres sans verrous ni panneau indiquant «défense d'entrer». Et la moisson est souvent fructueuse: listes de clients, bons de commande, courriers internes, détails de contrats... Autant de pépites dont l'accès devrait, au minimum, être protégé par un mot de passe. 

Les ordinateurs reliés au Net seraient-ils si vulnérables? Oui. Car ces machines et les données qu'elles accueillent doivent être sous surveillance constante. A la moindre inattention, la faille apparaît, et des documents censés rester à l'abri des regards se retrouvent dans la nature. Or, il semble que la sécurité informatique ne soit pas encore une obsession. «Je ne suis pas surpris de la multiplication de ces affaires», indique Paul-André Pays, fondateur de la firme de sécurité informatique EdelWeb. «C'est notre pratique quotidienne.» 

Failles connues. Son travail est justement d'éplucher les ordinateurs pour éviter des failles, à la demande de ses clients. Il précise tout d'abord qu'«aucun système n'est sûr à 100 %». Surtout face à d'éventuels pirates surdoués. Mais là n'est pas le problème: dans «25 % à 33 % des cas», il se retrouve face à des «erreurs grossières». Du genre de celles qui ont propulsé les informations de Western Union, de Bull et de tant d'autres dans la nature. Et dans la moitié des cas, il détecte des «vulnérabilités triviales», donc des failles connues non colmatées, dont la description se trouve un peu partout sur le Web et donc utilisable par quiconque sait un tantinet manier la souris. Comment faire le tri entre les sites soucieux de sécurité et les autres? Impossible de savoir. A défaut, on suivra attentivement les révélations sur le site de Kitetoa.
 

Source: Liberation (15/09/2000)