Logo Journal L'Essor
2017 2016 2015 2014 2013 2012 2011 2010
2009 2008 2007 2006 et nos 100 ans d'archives !
Rechercher un seul mot dans les articles :
Index de l'annéeindex de ce numéro Article suivant Numéro suivant
Numéro précédent Article précédent

Août 2009 
Comme dans un moulin
Auteur : L.C.I.

( Reprise d'une interview menée par LCI )

Le magazine Capital révèle que certaines données personnelles que vous confiez aux sociétés en ligne sont parfois très mal protégées. Incompétence ou pure négligence ? Noms, numéros de téléphones, adresses ou même coordonnées bancaires, les enquêteurs de Capital sont parvenus à accéder à certains de ces fichiers. Le rédacteur en chef de Capital, François Genthial a accepté de nous en dire un peu plus :

- Alors, a-t-il été facile pour vos journalistes d'accéder à ces données ?

- Oui, relativement facile. Il a fallu aller un petit peu au delà de la difficulté initiale, mais enfin... avec quelques journalistes spécialisés, et très habiles en informatique, nous avons  réussi en effet à accéder à des informations non publiques sur des sites que nous pensions ultra-verrouillés et blindés comme Fort Knox. Par exemple chez Orange, Hewlett Packard, et même à l'administration qui gère les titres Emplois-et-Services, nous avons pu entrer assez facilement dans leurs sites, et en procédant assez légalement, même très légalement. Nous n'avons pas acheté des programmes de pirates sur internet. Non. Nous nous sommes contentés de rajouter ici un petit mot (dans l'URL), là de trouver un mot de passe très banal... En fait, nous avons simplement profité de la faiblesse des protections mises en place par ces sites.

- Donc pas de compétences nécessaires en piratage. Monsieur Tout-le-Monde pouvait accéder à ces données ?

- Presque M. Tout-le-Monde, en effet. C'est cela qui est assez inquiétant. Par exemple, le fournisseur d'accès Orange Internet fournit par e-mail un mot de passe à ses clients, lequel mot de passe est supposé être secret, bien évidemment. Mais en fait, ils délivrent des mots de passe «séquentiels», c'est-à-dire qui se suivent. Il suffit d'en connaitre un, puis de le faire varier de 1, puis de 2, puis de 3... pour avoir accès aux comptes personnels des milliers de clients de l'entreprise. En d'autres mots, leurs mots de passe ne sont pas aléatoires, ils forment une suite logique de nombres. Alors, c'est un peu trop simple n'est-ce pas comme protection.

- On est aussi surpris de voir que cela concerne de grandes sociétés. Est-ce qu'elles se croient à l'abri du piratage ?

- Je pense qu'elles sont un peu trop sûres d'elles, et puis c'est vrai qu'on ne voit pas le mal partout... Les responsables informatiques se disent qu'ils en ont fait assez, mais en vérité non. Et trop de simplicité est parfois votre ennemi. Autre exemple, un truc tout bête, le simple fait de laisser comme mot de passe le mot «admin», l'abréviation du mot administrateur, nous a permis d'accéder à pas mal de sites. Pourquoi? Parce que les services informatiques qui gèrent ces sites sont un peu flemmards, disons. Alors, comme mot de passe, ils prennent le plus courant.

- Comment ces entreprises se sont-elles aperçu de ces fuites ?

- Eh bien, uniquement parce que nous les avons prévenues, aussitôt. C'était aussi une partie de notre enquête, nous voulions voir comment elles réagissaient. Et là. il nous faut reconnaître que la majorité des entreprises ont réagi très bien. Extrêmement rapidement. Elles ont évidemment tout de suite vu les enjeux de cette affaire. Donc nous les avons prévenues et elles ont réagi dans l'heure, voire dans la minute. Alors soit elles stoppaient immédiatement le service, pour éviter des dégâts considérables, soit elles réparaient la chose quand elles le pouvaient. Elles ont toutes très bien réagi, sauf une ou deux. Alors là ça nous a étonnés. Notamment un site de rencontres en ligne, qui a mis un mois avant de réagir. Ce qui est assez stupéfiant, puisque nous leur avons montré que nous pouvions accéder à leurs forums, à leurs discussions, à leur base de données, etc. On pouvait voir des gens s'échanger des mots doux, avec leurs noms pseudonymes, et nous on aurait pu facilement savoir qui était qui.

- Mais alors, ces données, comment pourraient-elles être utilisées ? Est-ce que cela représente un véritable danger ?

- Ah oui, des gens mal intentionnés les utiliseraient très mal. Le danger est considérable. Y'a des listes de clients, y'a des coordonnées bancaires, y'a des numéros de téléphones. Par exemple, sur le site des titres emplois-services, y'avait l'identité et les données bancaires de dizaines de milliers d'employeurs. Y'avait des fiches de paye de certains de leurs salariés... ça peut être très embêtant !

- Alors une dernière question: vous nous expliquiez que vous auriez pu facilement modifier les notes du baccalauréat. Comment est-ce possible ?

- Eh ben euh, voilà. Nous sommes tombés, en cherchant un peu tout de même, il faut reconnaitre que nous avons un peu joué avec la difficulté, mais en cherchant nous sommes tombés sur la base de données de la région Charente. Et alors en quelques clics, nous avons accédé aux codes secrets attribués aux profs qui corrigent le baccalauréat à Angoulème. Donc il s'agit d'un listing sensé être secret, contenant 124 identifiants et mots de passe de membres de jury et de chefs de centres d'examen. Bon, depuis ça a été évidemment réparé. De suite nous avons prévenu l'administration, qui nous a d'ailleurs envoyé un petit mot gentil, pour nous remercier. Ils ont réagi dans l'heure, il faut le reconnaître.

- Merci François Genthial d'avoir bien voulu répondre à nos questions.

Espace réservé : Rédaction
© Journal L'Essor 1905-2017   |   Reproduction autorisée avec mention de la source et annonce à la Rédaction  |       Corrections ?