Passer au contenu

Chez Bull, on peut entrer sans frapper

La mauvaise configuration du serveur Web peut avoir des conséquences fâcheuses. Bull en a fait l’amère expérience.

Les cordonniers sont souvent les plus mal chaussés… Alors que Bull compte parmi ses collaborateurs des experts en sécurité de haute volée, le contenu d’un serveur Web sous IBM-Lotus Domino, théoriquement réservé à ses seuls partenaires et filiales, a été accessible à n’importe qui pendant un certain temps. Pour y entrer, nul besoin de s’appeler Kevin Mitnic, ou d’être capable de recréer des numéros de séquence TCP. À cause d’une erreur de configuration du serveur, il n’était pas nécessaire d’entrer un mot de passe pour consulter les données. Bull minimise l’incident en déclarant qu’aucune donnée “hautement confidentielle” ne résidait sur ce serveur et que le problème avait été résolu le jour même.

Kitetoa contredit Bull

Les animateurs du site www.kitetoa.com, spécialisé dans les révélations des problèmes de sécurité, réfutent la thèse de Bull selon laquelle l’incident aurait duré une demi-journée. Un des leurs avait, en effet, signalé ce “trou” en mai dernier. Par ailleurs, les experts de Kitetoa précisent que s’il a été résolu, c’est tout simplement parce qu’un e-mail avait été envoyé aux administrateurs systèmes de Bull, ce que ne contestent pas ces derniers. Plus grave encore, malgré la révélation de l’affaire en France dans les médias, Kitetoa a constaté le même défaut chez Bull Angleterre, ainsi que des soucis de configuration chez Bull Espagne.

Des processus de contrôle peut-être insuffisants

Cet épisode risque de ternir l’image de Bull, car la sécurité a toujours fait partie intégrante des activités du constructeur. Il laisserait supposer des failles dans ses audits de sécurité et dans ses processus de contrôle sur une période suffisamment longue. D’aucuns ne manquent pas d’ajouter que le mode d’accès par simple saisie d’un login-mot de passe apparaît un peu “léger” pour accéder au serveur Web d’une société disposant d’une division cartes à puce (CP-8) et qui vend des systèmes dauthentification forte.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Olivier Ménager