“Jeanine !!”. Les cris de la chef appelant sa secrétaire emplissaient l’étage. La collaboratrice expérimentée se dépêcha d’arriver dans le bureau. Contrairement à sa version virtuelle, elle se devait d’être présente. “Oui Madame . Que puis-je faire pour vous ?”. La responsable était dans un état d’excitation extrême.
“Des hordes de trolls se moquent de nous sur les réseaux sociaux. Tout cela parce qu’un petit c.. nous a volé des données.”. La responsable s’épancha longuement sur le dernier scandale à la une des journaux. Un pirate avait tenté de revendre des informations concernant 12 millions d’usagers des services de l’ANTS.
Pour rappel, l’ANTS signifie Agence Nationale des Titres Sécurisés. L’organisme a été rebaptisé depuis le 28 février 2024 “France Titres” et a pour mission de délivrer aux citoyens français les documents comme la carte d’identité, le permis de conduire ou le passeport.
“Jeanine, programmez une réunion pour dans 2 heures avec les responsables de chaque direction. En présentiel pour ce qui peuvent. En ligne pour les autres. La réunion est obligatoire, surtout pour le directeur de la sécurité des systèmes d’informations et le directeur du Service aux Usagers”.
La secrétaire retourna prestement à son bureau pour envoyer l’invitation et réserver une salle de réunion avec une écran pour la téléconférence. Elle contacta aussi ses collègues des directions identifiées pour insister sur le caractère obligatoire de la présence à la réunion et pour connaître la tension dans les services.
Ces collègues lui firent remonter que l’information s’était largement diffusée dans les médias, plus que lors de la crise précédente, quelques mois avant. D’ailleurs le RSSI a déjà réuni un groupe d’experts pour présenter une contre-offensive.
Deux heures plus tard, en salle de réunion, la tension était palpable. La directrice ne masquait pas son agacement. La médiatisation du cas la faissait passer pour une incapable alors que l’informatique ce n’était pas son domaine. Si elle s’entourait de professionnels, c’était justement pour ne pas faire face à ce type de crise.
Et quelle crise ! Un gamin de 15 ans avait aspiré l’intégralité des données connues de l’organisme. Et même pas par une attaque complexe. Non, l’attaque la plus basique qu’il soit, en modifiant un élément dans la barre d’adresse pour changer de compte utilisateur. Une IDOR comme on dit dans le jargon ou Insecure Direct Object Reference.
Lorsqu’on se connecte à un service sur Internet, il faut d’abord s’authentifier avant d’accéder aux services. L’IDOR consiste à demander une autre ressource au serveur en modifiant les informations identifiées dans l’adresse. Ici, la ressource est le compte d’un autre utilisateur, sans repasser par l’écran de connexion. Une telle erreur dans la navigation est incompréhensible.
Les développeurs ironisaient sur X. “Dans la conception de site Internet, ce cas est détaillé à la 3ème ligne de la 1ère page du 1er chapitre.”, “C’est la base. Le moindre framework bloque sur ce type de faille.”, “Ils ne font pas d’audit de sécurité.”, …
Le RSSI ne chercha pas à minimiser la situation. Les audits de sécurité avaient bien vu l’erreur. Un correctif devait être apporté dans la prochaine version, mais la fonctionnalité avait été plusieurs fois repoussée. Promis, cela partirait dans le prochain sprint. Non, le roublard était à la manœuvre.
“Nous héritons d’un développement dont les racines remontent aux années 70. Les audits sont trop complexes et l’information est noyée. Nous avons pris des mesures en urgence afin de ralentir l’accès aux comptes des utilisateurs en multipliant par 100 le délai de réponse du service lors du changement de compte. “
Comprenant que son collègue venait de bloquer le service aux usagers mais ne voyant pas d’autres solutions, la directrice conclut que les seules informations volées étaient majoritairement accessibles sur d’autres sites comme les Pages Jaunes et Blanches ou le répertoire Sirene. Le mécréant avait été arrêté et son compte sur le DarkNet avait été fermé.
“Faisons comme à chaque fois. Attendons qu’une nouvelle histoire fasse oublier nos déboires. Et cette fois-ci, je veux que la faille soit corrigée.”. Terminant la réunion en présentiel et sur la plateforme d’un géant américain, la directrice s’en retourna à son poste.