La problématique des mots de passe relancée après des effractions perpétrées dans une agence de presse néerlandaise

Il règne pas mal de tumulte au sein de la presse néerlandaise après des infiltrations commises au sein du système informatique de la rédaction de l’agence de presse ‘Geassocieerde Pers Diensten’ (GPD) par le ministère néerlandais des affaires sociales. Ce méfait va provoquer de nouveaux soucis quant à la sécurité et à la stratégie en matière des mots de passe.

Il règne pas mal de tumulte au sein de la presse néerlandaise après des infiltrations commises au sein du système informatique de la rédaction de l’agence de presse ‘Geassocieerde Pers Diensten’ (GPD) par le ministère néerlandais des affaires sociales. Ce méfait va provoquer de nouveaux soucis quant à la sécurité et à la stratégie en matière des mots de passe.

Le ministère néerlandais des affaires sociales se serait introduit illégalement depuis plus d’un an dans le système informatique de la rédaction de l’agence Geassocieerde Pers Diensten (GPD). Un ou plusieurs fonctionnaires a (ont) ainsi pu consulter des articles non encore publiés et des agendas internes. C’est GPD elle-même qui l’a annoncé, samedi.

Selon Marcel van Lingen, directeur et rédacteur en chef de GPD, le ministère a eu accès depuis plus d’un an au système informatique en exploitant les mots de passe d’un ex-employé de l’agence de presse, mais aussi de quelqu’un qui y travaille encore. GPD parle d’espionnage et envisage la possibilité d’introduire une plainte: “Nous avons été espionnés par les autorités. Il s’agit là d’une réelle atteinte à la liberté de la presse.”

Cet événement suscite pour la énième fois des questions quant aux politiques des mots de passe appliquées dans les entreprises. L’année dernière encore, le spécialiste de la sécurité IT Cyber-Ark affirmait que la piètre gestion des mots de passe pouvait constituer un grave problème de sécurité. Selon Hella Liefting, secrétaire de rédaction au sein de l’agence de presse ANP, il est assurément malaisé d’éviter ce genre d’effraction dans les systèmes informatiques. “C’est le prix à payer pour une agence de presse qui souhaite rendre la vie aussi facile que possible à ses clients. Si quelqu’un dispose des bons codes, on est tout simplement impuissant”, déclare Liefting.

Les spécialistes en la matière évoquent cependant le triple aspect du problème. Primo, le ministère des affaires sociales commet un vol, en l’occurrence d’informations professionnelles. Avec la circonstance aggravante qu’il se fraie lui-même un accès à un système tiers. Secundo, il y a un problème d’ingénierie sociale: le personnel même constitue souvent la principale cause d’insécurité d’une entreprise. Tertio, se pose la sempiternelle question de la gestion des droits: qui reçoit un ‘login’ et quand? Et surtout, quand doit-on priver cette personne de ce droit? Les experts en sécurité attribuent ici un rôle très important au département des ressources humaines qui, à nul autre pareil, connaît les nouveaux venus et ceux qui quittent l’entreprise.

Nombre de grandes organisations d’information néerlandaises ont déjà réagi et “vont aussi contrôler” si des hôtes indésirables ne se sont pas non plus infiltrés dans leur système interne. “Il y a beaucoup de gens qui ont accès à notre système, même si le risque est moindre que dans une agence de presse”, déclare-t-on chez RTL Nieuws. Chez ANP, l’on va aussi examiner si le système interne n’est pas accessible à des adresses IP ‘étrangères’. ANP déclare d’ailleurs vouloir aller plus loin encore: “Si c’est là une pratique qui est utilisée aux Pays-Bas, nous devons réfléchir à une stratégie commune.”

En collaboration avec Belga et Guy Kindermans