La ‘plate-forme de sécurité’ flamande vulnérable aux actes criminels
Le protocole de cryptage SSL utilisé pour la protection de la plate-forme de sécurité numérique flamande OSR (Organisatie Snelle Redding) est très vulnérable. Il en résulte que des criminels peuvent sans trop de difficultés procéder à de la mise sur écoute et intercepter des informations cruciales en matière de gestion de catastrophes et de plans d’urgence.
La plate-forme de sécurité numérique flamande OSR comprend notamment une banque de données centrale dans laquelle sont tenues à jour toutes les données importantes en matière de gestion d’une catastrophe en ligne. Lorsqu’une telle catastrophe survient, la plate-forme OSR est également utilisée par les pompiers et la police, afin de pouvoir créer un journal de bord de manière efficiente.
C’est l’organisation de services IT flamande Cipal qui a conçu la plate-forme de sécurité OSR pour la police et les pompiers. L’organisation se charge aussi de l’hébergement de l’application.
La plate-forme OSR, qui doit donc jouer un rôle crucial à des moments importants, est cependant incroyablement mal protégée. Le spécialiste en sécurité Jan Guldentops a constaté que la configuration du cryptage SSL utilisé pour la protection de la plate-forme de sécurité est en effet loin d’être en ordre.
Le cryptage SSL est utilisé par des millions de sites web pour sécuriser les achats, les transactions financières et l’envoi de données personnelles en ligne. Le but est que toutes les informations restent confidentielles et impossibles à lire par des tiers et ce, durant tout le transfert. Les sites web qui disposent de la protection SSL, sont reconnaissables à la présence d’un cadenas fermé et de https:// dans la barre d’adresse. Votre banque recourt au cryptage SSL, mais aussi Facebook et bien d’autres plates-formes web.
Guldentops a découvert les points faibles de la plate-forme OSR au moyen du test ‘SSL Labs’. Quiconque le souhaite, peut utiliser cet outil en ligne pour vérifier dans quelle mesure le protocole de cryptage SSL d’une organisation est correctement configuré et actualisé. SSL Labs attribue un score après le test: A+ correspond à excellent, B à faible et C jusqu’à F à mauvais jusqu’à très mauvais. Comme vous pouvez le voir sur la capture d’écran ci-jointe, OSR s’est vu attribuer un F, la note la plus mauvaise possible donc.
“Autrement dit, des pirates ou des personnes mal intentionnées peuvent abuser facilement de cette piètre forme de cryptage et peuvent sans trop de problèmes visionner le journal de bord des services de police, ainsi que d’autres renseignements relatifs à des plans d’urgence des pouvoirs publics. Tout ce qui est transféré via la connexion ‘sécurisée’, peut être espionné. En outre, les communications peuvent être mises sur écoute, et des données peuvent être adaptées.”
Pierre angulaire
“Un score F au test SSL Labs signifie que la configuration SSL n’a plus été actualisée depuis deux ans déjà”, affirme encore Guldentops. “Et le pire, c’est qu’un bon gestionnaire de systèmes peut résoudre le problème en une heure ou deux. J’espère que tel sera le cas dans les plus brefs délais.”
Pour l’expert en sécurité, la connexion HTTPS constitue la pierre angulaire de toutes les applications dans le nuage. “Si elle n’est pas ce qu’elle doit être, elle crée une fausse sensation de sécurité. Je comprendrais encore, s’il était ultra-compliqué de mettre en ordre les dispositifs SSL, mais tel n’est pas le cas. L’on peut donc se poser la question de savoir ce qu’il en est du reste de la protection des applications gouvernementales.”
Adjudication
Nous apprenons par ailleurs à la rédaction que la plate-forme OSR vit ses derniers jours et qu’elle sera remplacée par quelque chose de neuf. Une adjudication a été lancée dans ce but, qui n’a pas été décrochée par Cipal.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici