Ces derniers mois, on entend beaucoup de cas de compromissions de systèmes informatiques en Suisse qui touchent aussi bien des administrations, services publics, ou acteurs du domaine privé. Tout le monde s’émeut bruyamment de ces intrusions mais sans bien comprendre les tenants et aboutissants et quelles sont les recettes à appliquer pour éviter que cela se reproduise aussi facilement !
Il est intéressant de noter d’ailleurs que comme dans beaucoup de pays les politiques et dirigeants sont assez « perdus » face à cette problématique car ils n’en maîtrisent aucun élément technique et ne savent en général pas trop quoi faire, et que dans la majorité des cas, le soucis est très basique et tient aux mauvais choix logiciels !
Cependant, quand on analyse un peu ces différentes intrusions, on se rend compte qu’en fait elles sont en général tout simplement la faute de l’utilisateur/développeur de la solution en question et que donc ils n’ont quelque part que le juste retour de leur choix absurde.
J’ai eu l’occasion récemment de juger du problème avec une administration publique, la Chambre de Commerce et d’Industrie du Canton de Vaud sise à Lausanne.
J’ai échangé quelques emails avec leurs services début novembre pour des renseignements. Un mois et demi plus tard, je recevais un spam qui comporte la copie de ma demande initiale. Je vérifie l’entête de l’email et là je découvre qu’en fait le spam vient d’un poste compromis à la CVCI (poste Windows bien sûr, la solution la plus pourrie techniquement pour le poste de travail administratif). Et comme les choix techniques absurdes au niveau du poste de travail ne vont jamais seul, je découvre que bien sûr le serveur d’email de la CVCI est un serveur Microsoft Exchange, le système de messagerie commerciale qui a plus de trous de sécurité que de fonctionnalités (pour la petite anecdote). Je n’arrive pas à comprendre comment si on est compétent en informatique, on peut se porter sur des choix Microsoft quand on analyse les 40 ans de développement logiciel de cette société (produits chroniquement instables, produits pleins de trous de sécurité que même l’éditeur n’arrive pas à corriger ou quand il y arrive c’est pour en créer de nouveaux..). Les seules explications que je vois:
- responsable informatique incompétent qui connait que les produits Microsoft par flemme et/ou organisme de formation corrompu et incompétent
- responsable informatique qui est satisfait de systèmes logiciels boiteux et qui n’a aucun sens professionnel du produit fini et de fournir des services qui marchent correctement
- collusion du responsable informatique et/ou du fournisseur avec l’éditeur des logiciels pour installer ces solutions boiteuses alors qu’il existe des alternatives qui marchent très bien et qui en plus coûtent bien moins chère pour plusieurs d’entre elles.
Après avoir donc signalé le problème à la CVCI, on m’a chaleureusement remercier pour le signalement en me demandant de faire remonter les éléments à la personne en charge ainsi qu’au prestataire externe, ce que j’ai fait en suivant ! Cela m’amène à me poser la question de savoir si cette incompétence sur les outils informatiques utilisés est juste le fait du client ou prestataire externe qui visiblement gère les outils pour le client… En effet, l’incompétence du client est une chose mais l’incompétence du prestataire, si c’est lui qui a préconisé ces solutions boiteuses, est bien plus grave !
Mais bien sûr, avec une infrastructure informatique aussi mauvaise, cela n’allait pas s’arrêter là ! Aujourd’hui la compromission est monté d’un cran, ce qui souligne plusieurs points:
- le signalement initial il y a deux mois n’a servi à rien ce qui est guère étonnant toute façon vu les outils utilisés qui ne sont ni sécurisables ni maintenables de façon fiable.
- le prestataire de la CVCI est visiblement aussi efficace pour ne pas avoir réglé le soucis et aucun suivi n’a été donné à mon message initial.
- les deux sont incapables de maintenir en état de marche et correctement sécurisé l’infrastructure internet de la CVCI.
Maintenant, au vu de ce que j’ai reçu ce jour par email, il apparaît clairement que leur serveur de mail a été totalement compromis puisque le spam reçu contient la copie intégrale de mon email original adressé à la CVCI trois mois plus tôt. Grâce à la CVCI j’ai maintenant mon email professionnel aux mains de spammers sans compter la confidentialité des échanges qui ont finis dans la nature.
De toute évidence, la CVCI n’a clairement cure de la sécurité et la confidentialité des données de ses utilisateurs et administrés, en utilisant et continuant à utiliser des technologies qui n’ont aucune fiabilité ni sécurité.
J’ai été très tenté de faire une signalisation à l’OFCOM (Office Fédéral des Télécommunications) mais quand je lis que cet organisme en est à envoyer des lettres recommandées aux sociétés qui ont des outils pas à jour pour leur demander de mettre à jour, on voit clairement que le problème est général ! En effet, il n’est pas question de mettre à jour puisque ces outils restent toujours boiteux mais d’éduquer les utilisateurs et responsables à utiliser les bons outils qui existent et qui sont à disposition.
Un autre point extrêmement révélateur du retard de la Suisse dans le domaine: La sécurité informatique passe obligatoirement par une obligation de déclarer tous les incidents afin d’engager les responsabilités des incompétents informatiques à la source de tous ces problèmes et d’avoir toutes les explications de ce qui a amené au problème et essayer de le corriger ! La technique suisse de l’autruche est la pire des solutions car tout le monde continue à faire de la merde dans son coin et les données des utilisateurs/clients se retrouvent dans la nature permettant toujours plus de phishing et/ou d’ingénierie sociale pour les brigands 2.0 🙁
Un des meilleurs dans ce domaine est d’ailleurs Swisscom qui a même fait un procès à des personnes qui avaient signalés des failles chez eux (belle mentalité des années 50 à la direction de Swisscom et cela en dit long aussi sur le fait que la société en question n’en a en fait rien à faire des données utilisateur et de leur confidentialité…). La sécurité des données ne passe jamais par cacher le problème sous le tapis comme fait Swisscom et d’ailleurs l’actualité l’a encore récemment montré avec une nouvelle fuite/intrusion chez Swisscom…
Pour conclure sur un point catastrophique: plus de 80% des étudiants qui sortent d’écoles informatiques en Suisse rêvent de travailler chez Microsoft, on est donc bel et bien perdu pour l’informatique en Suisse 🙁
Recent Comments