Le site web du nouveau conseiller en cyber-sécurité de Trump est rempli de failles
Rudy Giuliani sera l’assistant de Donald Trump en matière de sécurité numérique. Mais il y a un gros problème: il semble lui-même ne pas savoir comment s’y prendre.
Hier jeudi, l’équipe de transition de Donald Trump annonçait que Rudy Giuliani allait constituer un groupe de cyber-sécurité pour aider le futur président américain. Conjointement avec des entreprises, il sera chargé de trouver des solutions aux piratages, manipulations venant de l’extérieur et d’autres menaces numériques. L’ex-maire de New York possède 16 années d’expérience pour ce qui est de ‘trouver des solutions sécuritaires dans le secteur privé’.
Durant toutes ces années, Giuliani semble cependant n’avoir jamais examiné son propre site web (entre-temps mis hors ligne) car giulianisecurity.com est un véritable cauchemar en matière de sécurité.
Le site tourne sur une version datant de cinq ans de Joomla!, un système de gestion de contenu (CMS) utilisable gratuitement, qui est bourré de failles. Il s’agit certes en soi déjà d’un cauchemar sécuritaire, mais il y a pire. La page de login du CMS et celle de login du serveur sont publiques, ce qui fait qu’il est facile pour des personnes mal intentionnées d’accéder au site. Ce dernier recourt en outre à une version désuète du langage de script PHP (datant de 2013) caractérisée également par un tas de bugs. L’expert en sécurité Ty Miller a déclaré à The Register qu’en quelques minutes seulement, il avait déjà identifié 41 brèches connues publiquement.
On peut certes estimer que Giuliani (72 ans) n’a pas assuré lui-même la protection de son site web, mais le fait que pour sécuriser celui-ci, il ne dispose pas des personnes compétentes, cela n’inspire guère la confiance.
La cybercriminalité, c’est comme le cancer de la prostate
Giuliani a créé son entreprise de consultance en sécurité en 2002, après avoir terminé son second mandat de maire de New York. A l’entendre, il fonda cette entreprise parce qu’il avait lu dans un rapport du FBI que la cybercriminalité allait devenir un gigantesque problème – ‘plus grand que ce que nous ayons jamais vu’. Une opération intelligente, dans laquelle il voyait surtout un moyen de se faire des rentrées et pas vraiment de trouver des solutions.
Dans une interview accordée à Marketwatch, il y a un an, Giuliani comparait la cybercriminalité au cancer de la prostate, une maladie qu’il avait lui-même contractée. Il y voyait en effet les mêmes défis à relever. Il pense qu’il n’y a dans le deux cas pas de ‘solution parfaite’. Et que pour ces deux affections, il est surtout important de les détecter le plus rapidement possible, afin que les dommages puissent rester limités. Voilà une déclaration sensée de la part de Giuliani, mais le problème, c’est que dans la lutte contre la cybercriminalité, il semble surtout voir dans la solution un moyen de se faire un paquet de dollars. Au niveau du contenu, il ne va guère plus loin que ‘tester les systèmes de l’extérieur’. Et même s’il est important d’investir beaucoup d’argent dans la sécurité numérique des Etats-Unis – surtout vis-à-vis de la Russie – il s’agit d’examiner où va cet argent. Et c’est là que l’ex-maire semble être dans l’ignorance.
Lors de la conférence de presse qui suivit sa nomination au poste de conseiller en cyber-sécurité du futur président Donald Trump, Giuliani déclara que les Etats-Unis ‘avaient négligé leur défense. Notre attaque est trop loin de notre défense’, a-t-il prétendu. Voilà bien une déclaration ironique de la part de quelqu’un qui a laissé son propre site web plein de failles.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici