Cybersécurité: plus de trois mois pour colmater une faille

«Rien n’a été fait…» Le constat, posé le 31 octobre, émane d’un expert en cybersécurité. Mi-juillet, l’homme avait alerté l’OCPM (Office cantonal genevois de la population et des migrations) et la police genevoise d’une faille de sécurité liée au logiciel étatique EasyGov. Trois mois et demi après son intervention et à sa grande surprise, elle n’avait toujours pas été colmatée. Précisons qu’à présent, le «trou» a enfin été rebouché.

EasyGov est un logiciel équipant tous les cantons et communes, ainsi que nonante offices fédéraux. Il sert de portail central aux entreprises sollicitant un permis de travail pour leurs employés. Toute une série de données personnelles y sont donc insérées. Ce logiciel a été développé par la société Xplain pour le compte du Secrétariat d'Etat à l’économie (SECO). Or, en mai, Xplain (qui fournit de nombreux outils à la Confédération) a été victime d’un piratage de grande ampleur.

A sa suite, en juin et juillet, un gigantesque paquet de données a été publié sur le darknet. Au milieu de cette masse, l’expert précité est tombé sur un mail datant de 2021. Il contenait un document pdf, à l’entête du SECO, décrivant par le menu les spécifications et l’architecture de l’interface EasyGov. Y figuraient un lien internet et un mot de passe pour accéder à ce prototype. Ces identifiants, le 31 octobre, étaient encore opérationnels.

«C’est grave, juge le spécialiste. Une personne malintentionnée peut ainsi disposer de tous les éléments pour créer une copie parfaite du site, en vue de soutirer des informations aux entreprises, à leur insu. C’est comme cela que l’on fait du phishing (ndlr: ou hameçonnage, en français).»

Le SECO et le Centre national pour la cybersécurité (NCSC) ont été sollicités le 1er novembre. La porte-parole de ce dernier service, Manuela Sonderegger, a répondu le lendemain. Elle indiquait que «le lien mentionné dans le document mène à un mockup (ndlr: une maquette ou prototype d’interface utilisateur) mis en ligne à des fins de démonstration pour EasyGov. Par conséquent, il ne contient pas de données confidentielles.»

La communicante précisait que «ce mockup n’est plus utilisé car la modification a été mise en production. Son contenu est donc accessible au public sur le site d’EasyGov.» Toutefois, ajoutait-elle, l’opérateur externe de la plateforme a été prié de modifier le mot de passe. Ce qui a été fait dans la foulée: le 3 novembre, le «portail» avait cessé d’être accessible. 

La gravité réelle de la faille divise donc l’expert qui l’a détectée et la Confédération. Questionné à ce propos, Stéphane Koch, spécialiste en sécurité de l’information et vice-président d’ImmuniWeb SA, n’a pas d’avis tranché. «Il existe bien sûr d’autres moyens de cloner un site, néanmoins l’utilisation des données volées pourrait augmenter l’efficacité de ce type d’attaque.» Il juge qu’il ne s’agit vraisemblablement pas d’un incident majeur, mais souligne que la pratique en matière de cybersécurité vise à réduire la surface d’attaque au maximum, ce qui n’a pas été le cas ici. Il se montre plus sévère sur deux points: les trois mois et demi nécessaires pour colmater la brèche, qu’il assimile à du «laxisme». Et la transmission de mots de passe par mail. «Un mail n’est pas un élément sécurisé, au contraire d’échanges chiffrés par messagerie, par exemple. D’autant plus étant donné la nature du prestataire et celle du client. Les médecins n’ont ainsi pas le droit de transmettre certaines données sensibles par ce canal, et les banques ne l’utilisent jamais pour les données de comptes.»

Manuela Sonderegger indique qu’«au sein de l’administration fédérale, les informations (y compris les données d’authentification) doivent de manière générale être protégées conformément à leur besoin de protection. De ce fait, il n’y a pas d’interdiction spécifique de ne pas envoyer un mot de passe par e-mail.» Cette déclaration estomaque l’expert qui a débusqué la faille. «C’est hallucinant! Ne pas transmettre d’identifiant par mail, c’est le b.a.-ba.»

Quant au temps écoulé entre l’alerte et la fermeture de l’accès litigieux, le NCSC indique qu’il existe, au niveau fédéral, «une exigence qui requiert de réinitialiser les mots passe dès qu’il y a un soupçon de prise de connaissance par des personnes non autorisées». Ce qui laisse ouvertes deux options: soit l’OCPM et la police genevoise n’ont pas averti Berne en juillet dernier. Soit Berne a bien fait preuve de laxisme.