Étiquettes

, , ,

Les as de la cyberdéfense ont laissé traîner leurs petits secrets sur le Web

Le club, qui regroupe la fine fleur de la sécurité informatique française, a négligé sa propre protection. Bilan : 2 200 fiches confidentielles dans la nature…

Espions et pirates informatiques de tout poil se sont régalés : le très sélect Club de la sécurité des systèmes de l’information français (Clusif) leur a offert, en libre-service, la liste ultra-confidentielle de ses correspondants, cadres sup de grandes entreprises et hauts fonctionnaires chargés de la sécurité informatique. Avec, en bonus, leurs adresses Internet et leurs numéros de téléphone, portable compris !

Il suffisait (avant que « Le Canard » sonne l’alarme, le 12 février) de se brancher sur Bing, le moteur de recherche de Microsoft puis de taper les mots « Clusif » et « CSV » (le nom d’un format de fichier), et bingo ! Les petits curieux avaient aussitôt accès à plusieurs documents Excel qui ne se seraient jamais baladés sur Internet si le Clusif s’était donné la peine de verrouiller correctement ses serveurs.

Militaires débusqués

Un sacré exploit pour une association loi de 1901 qui se fait une gloire, depuis 1996, de lutter contre l’« exposition au risque » et d’agir avec succès « pour la sécurité de l’information »… Le Cluse a ainsi divulgué les coordonnées du « chief information security officer (sic) » de la présidence de la République, dont les bureaux sont installés dans les locaux militaires des Invalides, mais aussi celles de l’officier de sécurité, de l’inspecteur en chef et du responsable infrastructure de l’Autorité de sûreté nucléaire ! Les armées ont été également de la fête : une vingtaine d’experts de l’état-major des armées, de la Direction générale de l’armement et de la cyberdéfense française se sont retrouvés listés.

Même traitement pour les patrons de la sécurité informatique délégués à Matignon, au Sénat, à la Justice, à Bercy ou au Quai d’Orsay par l’Anssi, l’agence nationale censée défendre, baïonnette au canon, les sys­tèmes de communication gouvernementale. Par bonheur, ni leurs mots de passe ni les codes de la force thermonucléaire ne traînaient sur la liste…

Les dégâts touchent d’autres « opérateurs d’importance vitale » (privés ou publics) placés sous le contrôle du Secrétariat général de la défense nationale. Ercom, le spécialiste français des écoutes et du cryptage des communications, y côtoie dans la liste le Commissariat à l’énergie atomique, EDF, ainsi que plusieurs industriels de l’armement, des banques, etc.

Annuaire vicié

Au total, le Clusif a diffusé plus de 700 fiches individuelles et les coordonnées de près de 1 500 responsables récemment inscrits pour suivre une formation maison. Mieux : ces fichiers étaient sans cesse remis à jour, permettant de suivre quotidiennement les réclamations ou les félicitations des adhérents.

Sans relever strictement du secret-défense, cette banque de renseignements avait de quoi faire saliver les barbouzes du monde entier. Des officines pouvaient se servir des adresses mail pour pirater des réseaux ultrasensibles. Ou utiliser les numéros de portable afin d’écouter des conversations grâce à des gadgets électroniques du genre Imsi-catcher.

Très consciencieux, « Le Canard » a contacté le Clusif avant sa parution. Pour lui laisser le temps de faire le ménage dans ses ordinateurs et lui permettre de réapprendre le b-a-ba de l’informatique…


Jérôme Canard, Le Canard Enchaîné – 13/02/2019