Pour ceux qui se posent la question… ceci est l’interface d’administration d’un des sites web les plus visités en Côte d’Ivoire, sur lequel un informaticien s’est connecté, avec son login et son mot de passe.
Petit hic, il n’est ni administrateur, ni concepteur de la plateforme propulsant le site web. C’est un hacker, ’hactiviste’, qui veut montrer les failles de la plateforme.
Dans le même ordre d’idées, j’ai aussi vu:
- La version mobile d’un des portails ivoiriens les plus visités subir une attaque XSS dans les règles;
- Une interception de paquets chez un grand , très grand nom de l’Internet, du cellulaire et de la téléphonie fixe;
- Une injection SQL chez un FAI (qui, entres nous , l’a bien cherché : on n’a pas idée de ne pas activer la réécriture d’url lorsqu’on utilise un site web propulsé par Joomla!) et sur un site web gouvernemental
- Une attaque Man in The Middle chez un grand nom de la téléphonie;
- Une prise de contrôle à distance de caméras de surveillance;
- etc.
Tous ces ‘exploits’ (sans mauvais jeu de mots) ont eu lieu ce samedi 11 septembre 2011, lors de la conférence Insecurity Days 2011 . Cette manifestion, organisée par l’organisation CyberLearning 225, visait à sensibiliser aussi bien monsieur tout le monde que les administrateurs systèmes ou encore les professionnels en TI aux bonnes pratiques en matière de sécurité informatique, avec des démonstrations/démystifications à l’appui. Et je peux dire des grands noms de la téléphonie, jusqu’à la cellule informatique de la présidence, en passant par les services informatiques des aéroports, tout le monde en a pris pour son grade.
Petite digression : je pense qu’il convient donc de se demander où se situe le problème avec nos professionnels des TI . Je n’ai pas la prétention de juger leur travail, mais vu l’importance de leurs employeurs, ils devraient être des pointures dans leurs domaines et maîtriser le B.A-BA de la sécurité informatique … L’heure est peut être venue pour procéder à une sorte d’état des lieux, afin savoir quels sont les besoins et les combler par des formations adéquates .
Pour ma part, je me refuse à croire que ces grands noms des technologies embauchent des incompétents. Et j’espère que je me trompe. Peut être que le problème est plus profond que cela. Je pense qu’une fois à leur poste, ces administrateurs sous estiment l’aspect dynamique du monde des technologies, et en particulier de la sécurité informatique. Avec l’explosion du web social, de plus en plus de sites web proposent les outils pour infiltrer un système (ce qui a entraîné une émergence de script kiddies dénués de tout talent, foi et loi).
Mais bon, comme on m’a dit une fois : ” Mon frère, de toute façon, ça c’est chez les blancs. Ko war driving , man in the middle ? qui est hacker ici ? Nous on a juste les brouteurs “
Pour ces administrateurs/professionnels qui pensent ainsi, j’ai mis en ligne la démonstration d’un participant qui a pu récupérer la clé WEP du routeur d’un FAI bien connu . Pour la petite histoire, il l’a repéré grâce à son SSID (du genre ‘Wifi-Super-Rapide-De-La-Mort-Qui-Tue-D’une-Grande-Compagnie-de-la-Telephonie). Preuve que le risque se situe bien au délà de la simple ingénierie sociale :
Il va sans dire que les voix ont été modifiées et certains passages censurés pour protéger la vie privée des employés de cette compagnie, l’hacktiviste, éviter des poursuites judiciaires au motif d’incitation à la piraterie. Et, soit dit en passant, je décline toute responsabilité en ce qui concerne une utilisation frauduleuse ou illégale des instructions contenues dans cette vidéo
Pour moi, un FAI qui encrypte son wifi avec un clé WEP, c’est, pardonnez moi l’expression, du grand n’importe quoi.
Je concluerais en adressant toutes mes félicitations aux organisateurs de la manifestation, ainsi qu’à:
- Hassouna,
- le Messie,
- Son Tracker DPP,
- le Code
- Charly Costa
pour avoir su nous sensibiliser à la sécurité tout en nous faisant passer un moment agréable (quoique ponctué de quelques phases de sueur dans le dos).
Jean Luc Houédanou
