These last months, we get quite often some news regarding IT systems compromised in Switzerland, that happen either in administration services, state services, or private companies. Everyone is really pissed off about it but without really understanding why it happens and what can be done quite easily to reduce a lot risks and costs of IT too !
You'll notice also that like in most countries, politics and the ones that decide are quite "lost" regarding that issue, because they have none knowledge in IT, although in most cases, problem is very basic and is linked with very bad choices of softwares !
Nevertheless, when you analyze these intrusions, most of time they are due at fault of user/integrator of the software and so they are the return on investment of their poor choice.
I have been able to see by myself the problem recently with a nearly public administration, the Chambre de Commerce et d'Industrie du Canton de Vaud installed at Lausanne.
I exchanged few emails with their services begin of november for some informations. One month and a half later, I received a spam including my initial email. I check the header of the email and discover it comes from a compromised computer at CVCI (computer running Windows of course, the worst technical choice for an administrative computer). And as usual the worse technical choices for desktop computers are never alone, I discover soon their email server is Microsoft Exchange, the worse commercial email server that has more security holes than features (and unhappy it's not a joke). I still don't understand how if you are an expert in IT, you can select Microsoft products when you look at the last 40 years of history of that company (products always instable, full of security bugs that they don't succeed to fix properly themselves or when he succeeds it's to create new ones...). Only explanations I can imagine:
- IT manager incompetent that knows only Microsoft products because he is lazy and/or training school terrible and corrupted.
- IT manager happy of terrible solutions he installs and that is not working in a professional way to supply services efficient and secured.
- corruption of the IT manager and/or of the subcontractor that supplies these products to install crap softwares while lot cheaper and efficient solutions exists since always (but they might need to get some proper IT knowledges ;).
Après avoir donc signalé le problème à la CVCI, on m'a chaleureusement remercier pour le signalement en me demandant de faire remonter les éléments à la personne en charge ainsi qu'au prestataire externe, ce que j'ai fait en suivant ! Cela m'amène à me poser la question de savoir si cette incompétence sur les outils informatiques utilisés est juste le fait du client ou prestataire externe qui visiblement gère les outils pour le client... En effet, l'incompétence du client est une chose mais l'incompétence du prestataire, si c'est lui qui a préconisé ces solutions boiteuses, est bien plus grave !
Mais bien sûr, avec une infrastructure informatique aussi mauvaise, cela n'allait pas s'arrêter là ! Aujourd'hui la compromission est monté d'un cran, ce qui souligne plusieurs points:
- le signalement initial il y a deux mois n'a servi à rien ce qui est guère étonnant toute façon vu les outils utilisés qui ne sont ni sécurisables ni maintenables de façon fiable.
- le prestataire de la CVCI est visiblement aussi efficace pour ne pas avoir réglé le soucis et aucun suivi n'a été donné à mon message initial.
- les deux sont incapables de maintenir en état de marche et correctement sécurisé l'infrastructure internet de la CVCI.
Maintenant, au vu de ce que j'ai reçu ce jour par email, il apparaît clairement que leur serveur de mail a été totalement compromis puisque le spam reçu contient la copie intégrale de mon email original adressé à la CVCI trois mois plus tôt. Grâce à la CVCI j'ai maintenant mon email professionnel aux mains de spammers sans compter la confidentialité des échanges qui ont finis dans la nature.
De toute évidence, la CVCI n'a clairement cure de la sécurité et la confidentialité des données de ses utilisateurs et administrés, en utilisant et continuant à utiliser des technologies qui n'ont aucune fiabilité ni sécurité.
J'ai été très tenté de faire une signalisation à l'OFCOM (Office Fédéral des Télécommunications) mais quand je lis que cet organisme en est à envoyer des lettres recommandées aux sociétés qui ont des outils pas à jour pour leur demander de mettre à jour, on voit clairement que le problème est général ! En effet, il n'est pas question de mettre à jour puisque ces outils restent toujours boiteux mais d'éduquer les utilisateurs et responsables à utiliser les bons outils qui existent et qui sont à disposition.
Un autre point extrêmement révélateur du retard de la Suisse dans le domaine: La sécurité informatique passe obligatoirement par une obligation de déclarer tous les incidents, mais sans aucune mise en cause ni responsabilisation des fauteurs, afin d'engager les responsabilités des incompétents informatiques à la source de tous ces problèmes et d'avoir toutes les explications de ce qui a amené au problème et essayer de le corriger ! La technique suisse de l'autruche est la pire des solutions car tout le monde continue à faire de la merde dans son coin et les données des utilisateurs/clients se retrouvent dans la nature permettant toujours plus de phishing et/ou d'ingénierie sociale pour les brigands 2.0 :-(
Un des meilleurs dans ce domaine est d'ailleurs Swisscom qui a même fait un procès à des personnes qui avaient signalés des failles chez eux (belle mentalité des années 50 à la direction de Swisscom et cela en dit long aussi sur le fait que la société en question n'en a en fait rien à faire des données utilisateur et de leur confidentialité...). La sécurité des données ne passe jamais par cacher le problème sous le tapis comme fait Swisscom et d'ailleurs l'actualité l'a encore récemment montré avec une nouvelle fuite/intrusion chez Swisscom...
Pour conclure sur un point catastrophique: plus de 80% des étudiants qui sortent d'écoles informatiques en Suisse rêvent de travailler chez Microsoft, on est donc bel et bien perdu pour l'informatique en Suisse :-(
