Des sites gouvernementaux accusés de "négligence caractérisée"

Afin de montrer que la loi Hadopi reposait sur des bases juridiques instables, 3 blogueurs ont décidé de mettre le gouvernement devant ses responsabilités. En dévoilant des failles sur des sites gouvernementaux, Paul Da Silva, Paul Rascagneres (RootBSD) et Olivier Laurelli (Bluetouff) veulent montrer que les services du gouvernement sont en flagrant délit de « négligence caractérisée ».

Pour rappel, la loi Hadopi ne condamne pas le fait d'avoir téléchargé illégalement une œuvre mais invoque le « défaut de sécurisation d'une ligne Internet ». Cette négligence caractérisée s'apparente alors au manque de diligence requise, de mesures prises pour bien sécuriser ses accès. Les trois blogueurs ont donc mis en application ce principe…

Ils ont mis le doigt sur un problème aussi vieux que la sécurité informatique. Le fait est qu'une société ou un organisme public n'a aucune obligation de dévoiler ou de rendre compte de ses failles de sécurité. Si un internaute découvre une vulnérabilité, il peut alors en informer la société et doit alors attendre une éventuelle réparation avant de la communiquer. A défaut, il peut être accusé d'intrusion.

Résultat de ce mode de fonctionnement, 36 sites gouvernementaux sont épinglés. Parmi eux, certains portails sont relatifs au minis­tère des finances, au secré­ta­riat d'Etat à la pros­pec­tive et au numé­rique, au minis­tère de l'agriculture, ou bien encore à celui du pre­mier ministre. Bluetouff explique sur son blog qu'il a relevé une vingtaine de failles XSS (autorisant le Cross site scripting), deux failles LFI (Local File inclusion). De même, « des dizaines de documents accessibles au publics et qui ne devraient pas l'être (certains marqués confidentiel), des authentifications défaillante (ou inexistantes) d'accès à des intranets, un grand nombre de fichiers robots.txt, des accès aux zones d'administration, phpmyadmin, des CMS non-mis à jour depuis plusieurs années, des logs d'envois de mails, de newsletter, de connexion FTP » ont été découverts.

A la loupe, une quarantaine de sites officiels s'avèrent être insuffisamment protégés. Pourtant, l'opération menée par les 3 blogueurs n'a duré, selon eux, que 24 heures et visait à montrer qu'en l'état actuel des choses, la négligence caractérisée est difficilement applicable. Leur action a donc le mérite de pointer du doigt certains pans de la sécurité informatique que le pouvoir politique a mis de côté.

La loi Détraigne-Escoffier pourrait palier ce manque. Bien que taclée par une partie de la majorité présidentielle, certains de ses articles prévoient d'obliger, ou au moins encourager, les professionnels à notifier leurs failles de sécurité. Le texte doit encore passer devant le Sénat…