Ces derniers mois, on entend beaucoup de cas de compromissions de syst\u00e8mes informatiques en Suisse qui touchent aussi bien des administrations, services publics, ou acteurs du domaine priv\u00e9. Tout le monde s’\u00e9meut bruyamment de ces intrusions mais sans bien comprendre les tenants et aboutissants et quelles sont les recettes \u00e0 appliquer pour \u00e9viter que cela se reproduise aussi facilement !
\n
\nIl est int\u00e9ressant de noter d’ailleurs que comme dans beaucoup de pays les politiques et dirigeants sont assez \u00ab\u00a0perdus\u00a0\u00bb face \u00e0 cette probl\u00e9matique car ils n’en ma\u00eetrisent aucun \u00e9l\u00e9ment technique et ne savent en g\u00e9n\u00e9ral pas trop quoi faire, et que dans la majorit\u00e9 des cas, le soucis est tr\u00e8s basique et tient aux mauvais choix logiciels !
\nCependant, quand on analyse un peu ces diff\u00e9rentes intrusions, on se rend compte qu’en fait elles sont en g\u00e9n\u00e9ral tout simplement la faute de l’utilisateur\/d\u00e9veloppeur de la solution en question et que donc ils n’ont quelque part que le juste retour de leur choix absurde.
\nJ’ai eu l’occasion r\u00e9cemment de juger du probl\u00e8me avec une administration publique, la Chambre de Commerce et d’Industrie du Canton de Vaud sise \u00e0 Lausanne.
\nJ’ai \u00e9chang\u00e9 quelques emails avec leurs services d\u00e9but novembre pour des renseignements. Un mois et demi plus tard, je recevais un spam qui comporte la copie de ma demande initiale. Je v\u00e9rifie l’ent\u00eate de l’email et l\u00e0 je d\u00e9couvre qu’en fait le spam vient d’un poste compromis \u00e0 la CVCI (poste Windows bien s\u00fbr, la solution la plus pourrie techniquement pour le poste de travail administratif). Et comme les choix techniques absurdes au niveau du poste de travail ne vont jamais seul, je d\u00e9couvre que bien s\u00fbr le serveur d’email de la CVCI est un serveur Microsoft Exchange, le syst\u00e8me de messagerie commerciale qui a plus de trous de s\u00e9curit\u00e9 que de fonctionnalit\u00e9s (pour la petite anecdote). Je n’arrive pas \u00e0 comprendre comment si on est comp\u00e9tent en informatique, on peut se porter sur des choix Microsoft quand on analyse les 40 ans de d\u00e9veloppement logiciel de cette soci\u00e9t\u00e9 (produits chroniquement instables, produits pleins de trous de s\u00e9curit\u00e9 que m\u00eame l’\u00e9diteur n’arrive pas \u00e0 corriger ou quand il y arrive c’est pour en cr\u00e9er de nouveaux..). Les seules explications que je vois:<\/p>\n
Apr\u00e8s avoir donc signal\u00e9 le probl\u00e8me \u00e0 la CVCI, on m’a chaleureusement remercier pour le signalement en me demandant de faire remonter les \u00e9l\u00e9ments \u00e0 la personne en charge ainsi qu’au prestataire externe, ce que j’ai fait en suivant ! Cela m’am\u00e8ne \u00e0 me poser la question de savoir si cette incomp\u00e9tence sur les outils informatiques utilis\u00e9s est juste le fait du client ou prestataire externe qui visiblement g\u00e8re les outils pour le client… En effet, l’incomp\u00e9tence du client est une chose mais l’incomp\u00e9tence du prestataire, si c’est lui qui a pr\u00e9conis\u00e9 ces solutions boiteuses, est bien plus grave !<\/p>\n
Mais bien s\u00fbr, avec une infrastructure informatique aussi mauvaise, cela n’allait pas s’arr\u00eater l\u00e0 ! Aujourd’hui la compromission est mont\u00e9 d’un cran, ce qui souligne plusieurs points:<\/p>\n
Maintenant, au vu de ce que j’ai re\u00e7u ce jour par email, il appara\u00eet clairement que leur serveur de mail a \u00e9t\u00e9 totalement compromis puisque le spam re\u00e7u contient la copie int\u00e9grale de mon email original adress\u00e9 \u00e0 la CVCI trois mois plus t\u00f4t. Gr\u00e2ce \u00e0 la CVCI<\/a> j’ai maintenant mon email professionnel aux mains de spammers<\/strong> sans compter la confidentialit\u00e9 des \u00e9changes qui ont finis dans la nature.<\/p>\n De toute \u00e9vidence, la CVCI n’a clairement cure de la s\u00e9curit\u00e9 et la confidentialit\u00e9 des donn\u00e9es de ses utilisateurs et administr\u00e9s, en utilisant et continuant \u00e0 utiliser des technologies qui n’ont aucune fiabilit\u00e9 ni s\u00e9curit\u00e9.<\/p>\n J’ai \u00e9t\u00e9 tr\u00e8s tent\u00e9 de faire une signalisation \u00e0 l’OFCOM<\/strong> (Office F\u00e9d\u00e9ral des T\u00e9l\u00e9communications) mais quand je lis que cet organisme en est \u00e0 envoyer des lettres recommand\u00e9es aux soci\u00e9t\u00e9s qui ont des outils pas \u00e0 jour pour leur demander de mettre \u00e0 jour, on voit clairement que le probl\u00e8me est g\u00e9n\u00e9ral<\/strong> ! En effet, il n’est pas question de mettre \u00e0 jour puisque ces outils restent toujours boiteux mais d’\u00e9duquer les utilisateurs et responsables \u00e0 utiliser les bons outils qui existent et qui sont \u00e0 disposition.<\/p>\n Un autre point extr\u00eamement r\u00e9v\u00e9lateur du retard de la Suisse dans le domaine: La s\u00e9curit\u00e9 informatique passe obligatoirement par une obligation de d\u00e9clarer tous les incidents<\/strong> afin d’engager les responsabilit\u00e9s des incomp\u00e9tents informatiques \u00e0 la source de tous ces probl\u00e8mes et d’avoir toutes les explications de ce qui a amen\u00e9 au probl\u00e8me et essayer de le corriger ! La technique suisse de l’autruche est la pire des solutions car tout le monde continue \u00e0 faire de la merde dans son coin et les donn\u00e9es des utilisateurs\/clients se retrouvent dans la nature permettant toujours plus de phishing et\/ou d’ing\u00e9nierie sociale pour les brigands 2.0 \ud83d\ude41<\/strong><\/p>\n