Au travers d’une consultation publique anonyme, il est possible de connaître dans ses moindres détails les composants et le fonctionnement du Système d’Information du Ministère des Affaires Etrangères. Vous avez-dit irresponsable ?
Patrick Pailloux, directeur général de l’Agence Nationale pour la Sécurité des systèmes d’Information (ANSSI) a encore du boulot pour former ses ouailles. Mis sur le devant de la scène depuis deux jours suite à l’attaque dont a été victime Bercy, le sémillant patron de l’Agence va sans doute se faire quelques nouvelles sueurs froides s’il apprend ce qui se passe autour de la consultation publique pour la refonte de la sécurisation du Système d’Information du Ministère des Affaires Etrangères ? Jugez plutôt. !
En se connectant sur le site marchés-publics.gouv.fr et en entrant le mot clé PSSI, on obtient une consultation du Quai d’Orsay relative à la définition, au pilotage et au renforcement de la sécurité des systèmes d’information du Ministère des Affaires Etrangères et Européennes. Jusque- là tout va bien. Là où l’histoire devient plus cocasse c’est qu’il n’est absolument pas nécessaire de s’enregistrer pour accéder à l’intégralité des documents. Pour avoir effectué la manipulation, et n’ayant pas d’intentions belliqueuses, nous n’avons pas pris la peine de masquer notre adresse IP. Toutefois, n’importe quel hacker, y compris de bas niveau, vous expliquera que le masquage de son adresse IP est d’une simplicité enfantine, la méthode la plus simple consistant à utiliser un proxy étranger voire une cascade de proxies, rendant la découverte de l’adresse initiale tout à fait hasardeuse, pas forcément du point de vue technique mais assurément du point de vue juridique.
Bref, sans laisser une quelconque coordonnée, nous avons pu télécharger l’intégralité de la consultation. Et on apprend de belles. Ainsi le cahier des clauses techniques particulières sera d’un grand intérêt pour qui veut se lancer dans le piratage dudit système. On y liste en effet les principaux composants du système d’information, qu’il s’agisse des matériels, des logiciels, des systèmes d’exploitation le tout assorti de priorités concernant la sécurisation de ses systèmes. De même, l’organisation du Ministère et particulièrement sa direction informatique n’aura plus aucun secret pour quiconque. Tout est documenté : le nombre de serveurs, le volume de données et de journaux, les spécifications techniques des matériels, les détails des besoins avec les priorités …
Nous comprenons parfaitement que tous ceux qui souhaiteront répondre à cet appel d’offres aient besoin de ces informations. Toutefois, nous nous interrogeons sur la méthode choisie. En effet, ne serait-il pas plus judicieux de procéder en deux étapes. Tout d’abord, demander aux sociétés souhaitant répondre de se qualifier plus précisément et, une fois cette étape réalisée, leur envoyer les éléments techniques qui nous semblent beaucoup plus sensibles. Non, la procédure aujourd’hui utilisée dévoile à tout le monde l’organisation, le fonctionnement et les composants du Système d’information du Ministère des Affaires Etrangères & Européennes.
Simultanément à l’attaque massive qui s’est produite à Bercy et sur laquelle subsiste encore bien des zones d’ombre, voilà qui ne nous paraît pas très sérieux.
Source : Mag Securs