Les hackers "pizza" révèlent des failles dans la politique de sécurité de Bull.

A peine proclamée la première offre sécurité de la nouvelle filiale sécurité de Bull "Evidian" (voir article), un incident peu gratifiant vient ternir l'image du lancement flamboyant de la société. Un jeune site baptisé Kitetoa (se réclamant être les hackers "pizza" du Web, i.e n'y connaissant a priori rien) a dévoilé qu'une de ses tentatives d'accéder aux données hébergées par un serveur Web du constructeur (en l'occurrence un serveur Lotus-Domino d'IBM) aurait abouti sans aucune difficulté. Cette facilité liée à une négligence dans la configuration du serveur aurait permis ainsi durant une matinée de consulter librement des données confidentielles sur un certain nombre de clients de la firme tels que Aérospatiale, la BNP, la Royal Air Force ou encore la gendarmerie nationale. Données destinées à un usage exclusivement interne évidemment. Au menu, quels serveurs sont utilisés par Aérospatiale ? Quel type de serveur héberge la base de données des véhicules volés de la gendarmerie nationale, et à quel endroit ou encore des graphiques exposés dans des documents téléchargeables tels que les fiches-clients de EDF par exemple. De façon générale des informations très précises sur les architectures informatiques des clients du constructeur. Par ailleurs, des informations critiques tels que les noms et numéros de téléphone de responsables des infrastructures, des administrateurs ou encore des groupes d'utilisateurs en place.

A priori tout ce que le "hackeur" a dû faire a été de taper l'adresse du serveur Web pour accéder à la liste des répertoires du serveur. En cliquant sur les liens ainsi présentés, il a directement abouti sans plus de formalité à la base de données. "La moindre des choses aurait été de se voir demander un mot de passe ou login !" s'exclame un représentant du site. Il s'agirait donc d'un problème de configuration de l'ACL (Access Control List) qui gère l'accès sécurisé aux données confidentielles de la base.

La société s'est défendue en indiquant que l'incident n'a été que temporaire pourtant du côté de Kitetoa, on affirme "que le serveur devait être dans cet état depuis très longtemps puisqu'ils ont passé plus d'une demi-journée pour tout consulter." Et lorsqu'un des responsables de Bull écrit au site pour leur faire remarquer que "cette manipulation relevait d'un exploit technique", le site réplique "qu' il n'y a eu aucun piratage, aucune intrusion sur ces serveurs. Nous demandons simplement au serveur Web avec un navigateur standard d'afficher son contenu. C'était extrêmement simple et à la portée de n'importe qui, muni d'un navigateur."

En conclusion de cette malheureuse démonstration, on pourrait dire que "le cordonnier est toujours mal chaussé", mais surtout qu'il ne faut jamais négliger le facteur humain, même chez un spécialiste de la sécurité... Voir le rapport du site et les captures d'écran
[Alexandra Bissé, JD Net]