Des sites ministériels transformés en passoires par négligence
CMS non-patché, failles non-comblées, mot de passe par défaut... Des sites gouvernementaux étaient ouverts aux quatre vents.
Heureusement, aucun pirate ne semble être passé par là. Mais plusieurs sites web gouvernementaux étaient, selon le Canard Enchaîné, victimes de graves négligences de sécurité de la part de leurs responsables techniques.
Les sites web concernés étaient notamment ceux du Ministère de l'Economie, du Ministère de la Fonction Publique, du Ministère du Redressement Productif et du Ministère de l'Emploi. Construits sur un CMS open-source très courant, en l'occurrence Drupal, ces sites n'avaient pas été mis à jour techniquement depuis au moins 2010 malgré la découverte de failles de sécurité majeures, failles corrigées dans des patchs disponibles depuis longtemps. L'une des failles permettait de prendre le contrôle de chaque site avec les droits d'administration.
Toujours selon notre confrère, le mot de passe d'administration avait été laissé à sa valeur par défaut (« password »).
Découvertes par hasard par un internaute, ces failles ont été signalées à l'ANSSI (Agence nationale de la sécurité des systèmes d'information) la semaine dernière et corrigées dans la foulée avant la publication de l'article de notre confrère.
Contactée par la rédaction, l'ANSSI n'a pas souhaité commenter l'information, que ce soit pour la démentir, la confirmer ou la compléter.
L'article de notre confrère palmipède est paru dans son numéro 4793 daté du 5 septembre 2012, en page 4.
