Beaucoup de bruits pour rien !

La presse belge évoque, ce matin, les défaillances du site Internet du Ministère de la Défense belge.

Il est toujours étonnant de lire les commentaires de la presse et de certains professionnels de la sécurité « informatique »;  erreurs de vocabulaire et manque de compétences en la matière sont malheureusement les vecteurs d’une mauvaise information erronée et incomplète.

En effet, crier au loup parce que le site du Ministère de la Défense est vulnérable à des attaques classiques (voire faciles selon les soi-disant experts ayant testé le site Internet en question), c’est ne pas faire preuve de compétences.

Tout d’abord il faut tempérer le caractère « gravissime » de la chose.  Ce ne sont pas les serveurs internes qui contiennent les informations sensibles du Ministère de la Défense qui sont vulnérables mais le site Internet – autrement dit des données tout à fait publiques.  Même si le site était mis en berne, « défacé » ou s’il n’était plus accessible cela ne porterait atteinte qu’à l’image de marque de l’armée.

Bien sûr que ce genre de site doit être sécurisé !  Bien sûr que le site doit être robuste et que toute forme de piratage doit être évitée !  Cela dit, il faut raison garder lorsque ce genre de failles apparaissent et sont dévoilées au grand public.

Ensuite, il est assez choquant de constater dans l’article diffusé par le site de  la chaîne d’information nationale que l’amalgame est fait entre la sécurité informatique et le pirates !  Depuis quand les pirates sont des experts en sécurité informatique ???  Le piratage est une option offensive alors que la sécurité informatique induit des opérations défensives.

Pour finir, l’article semble (à demi-mot) évoquer le fait que la société qui a testé le site a choisi sa cible – le site du Ministère de la Défense – pour évaluer de son propre chef les manquements des pouvoirs publics quant à leurs obligations pour ce qui concerne la sécurité !  Si la société en question a effectivement été mandaté par le Ministère pour réaliser un test, je ne vois pas l’intérêt de communiquer sur les failles.  Si aucun mandataire public n’a commandité le test, alors il s’agit d’une faute professionnelle et d’éthique !  Du point de vue légal, il s’agit d’une tentative d’intrusion a minima.

A.F.L.

Cette entrée a été publiée dans Analyse, Piratage, Revue de presse, Script Kiddies, avec comme mot(s)-clef(s) , , , . Vous pouvez la mettre en favoris avec ce permalien.

Les commentaires sont fermés.