Négligence

Le piratage supposé du système de rédaction de l’agence de presse Geassocieerde Pers Diensten (GPD) est devenu outre-Moerdijk une affaire de gouvernement. Les porte-parole personnels d’un ministre et d’un secrétaire d’Etat néerlandais ont consulté chaque jour durant un an l’ensemble des dépêches non publiées et des agendas internes sur les serveurs de la GPD. Et ont tenté de modifier le contenu de certaines nouvelles avant publication. C’est d’ailleurs ainsi que le piratage présumé a été mis en lumière. En effet, les ‘pirates’ avaient travaillé autrefois chez GPD et utilisaient un nom d’utilisateur et un mot de passe toujours en service au sein de la GPD. Ces interventions se faisaient sans en avertir le rédacteur concerné, celui-ci ayant d’ailleurs démissionné. De même, les porte-parole en question ont été mis en disponibilité.

Plutôt que de piratage, il devrait être ici question de négligence typique dans la gestion de données d’enregistrement, associée peut-être à un doigt de ‘social engineering’. Certes, le réseau de la GPD est complexe puisqu’il relie quelque 70 quotidiens régionaux. Les collaborateurs internes disposent de mots de passe personnels, tandis que des mots de passe généraux permettent au personnel des quotidiens régionaux d’accéder au système de la rédaction. Ces mots de passe généraux sont modifiés chaque mois. Reste qu’au sein de la GPD, la gestion des mots de passe n’est pas vraiment prise au sérieux. En d’autres termes, on pourrait écrire que l’agence avait laissé une porte ouverte à l’arrière, permettant à un ancien collaborateur de pénétrer à l’intérieur du système. Certes, il peut toujours être question d’effraction et peut-être même de procédure pénale. Ce n’est en effet pas parce que vous laissez une porte non verrouillée que quiconque est autorisé à pénétrer dans votre maison. Même si vous rendez ainsi la tâche du cambrioleur bien plus facile…

Le dossier GPD fait songer, informatique mise à part, à cette affaire de porte laissée ouverte par mégarde début novembre par un fonctionnaire au musée Plantin Moretus d’Anvers. Heureusement dans ce cas, rien n’avait été dérobé de l’inestimable trésor conservé dans le musée. En effet, des touristes américains avaient déclenché par inadvertance l’alarme interne, permettant ensuite à la police anversoise de faire le nécessaire pour sécuriser les lieux. En Belgique, ce type de laxisme extrême ne débouche évidemment pas en Belgique sur une intervention au Parlement, soit dit par parenthèse. Mais pour en revenir aux Pays-Bas, la presse fait désormais ses grands titres de conseils sur une meilleure gestion des mots de passe. Certes, la négligence fait partie des travers de l’être humain. Et les mots de passe complexes sont par définition peu conviviaux. La tentation est dès lors grande de les noter sur un ‘post-it’ ou dans un agenda. Une gestion professionnelle des mots de passe, par exemple grâce à un système d’authentification par ‘token’, est un must pour toute organisation désireuse de protéger sérieusement ses données. Ce système a un coût, mais peut faire réaliser de sérieuses économies…

Opinion par Jozef Schildermans

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire