Kitetoa a récemment découvert que des informations sur les gros clients de Bull étaient librement consultables en ligne. Si Bull parle d’"erreur humaine" sans conséquence, Kitetoa y voit de la mauvaise foi.
Révélée par Kitetoa, reprise par ZDNet, l’information fait les choux gras de la presse anglo-saxonne : une faille de sécurité permettait d’accéder à une banque de données concernant les clients de la société Bull. Le casting est impressionnant : on compte, entre autres, la gendarmerie et l’armée de l’air françaises, la Royal Air Force aussi, les polices russes et norvégiennes, le ministère des Finances grec, la BBC, les aéroports espagnols et ceux de Paris, Aérospatiale, France Télécom, EDF, le Crédit Agricole ou encore la Cogema. La page d’accueil de cette "base de données internationale de référence", qui liste les success stories de Bull à destination de ses partenaires, qualifie les informations disponibles de "relativement stratégiques" et les documents de "confidentiels". Il y est aussi précisé que son accès est protégé par un système de login et de mot de passe. Sauf que justement, ce n’était pas le cas. Bull, qui a réparé la faille de sécurité "en deux heures", avance une "erreur humaine". Depuis un audit interne a été lancé et tous les clients ont été contactés afin de "leur expliquer la situation".
Beaucoup de bruit pour rien ?
Visiblement excédés par l’ampleur médiatique que prend cette affaire, surtout dans les médias anglo-saxons plus sensibilisés que leurs confrères français aux problèmes de sécurité informatique, les responsables de Bull que nous avons contactés cherchent à minimiser l’affaire. Ainsi, Bull avait initialement déclaré à ZDNet que la faille n’existait que depuis le matin même de sa révélation par Kitetoa. Ce que conteste ce dernier, qui parle de "mauvaise foi" : l’ayant découverte "il y a très longtemps", il n’avait tout simplement pas eu le temps d’en parler auparavant. Pour sa défense, Bull avance également que les informations n’étaient pas si stratégiques que ça. Nombre d’entre elles, concernant par exemple les systèmes informatiques de leurs clients, seraient disponibles ailleurs et dateraient de 1998/99. Dernier argument imparable : si elles avaient été réellement classées hautement stratégiques ou confidentielles, elles auraient été placées sur un intranet, et pas sur un site Web consultable en externe...
Incidents fréquents
Reste que les commentaires des commerciaux des sociétés listées pouvaient intéresser concurrents et pirates informatiques. À en croire Bull, ce serait faire beaucoup de bruit pour rien et l’on ne saurait remettre en question sa compétence et son expertise au nom d’une simple "erreur humaine" concernant des données pas si confidentielles que ça. À lire Kitetoa, cet incident, symptomatique mais semble-t-il relativement fréquent, n’est rien comparé à la faille de sécurité présente sur les serveurs d’Atos. Elle permettait de récupérer les logins et mots de passe des clients d’une banque en ligne...
Les secrets de Bull en libre accès sur ses serveurs
http://www.zdnet.fr/cgi-bin/a_actu....
Bull raconte n’importe quoi à la presse...
http://www.kitetoa.com/Pages/Textes...
Atos fait la plus belle connerie possible...
http://www.kitetoa.com/Pages/Textes...