/

Le piratage du site internet economie.wallonie.be

  • Session : 2014-2015
  • Année : 2015
  • N° : 131 (2014-2015) 1

2 élément(s) trouvé(s).

  • Question écrite du 24/04/2015
    • de LEGASSE Dimitri
    • à LACROIX Christophe, Ministre du Budget, de la Fonction publique et de la Simplification administrative

    Ce vendredi 10 avril, le site internet consacré aux politiques économiques wallonnes (economie.wallonie.be) s'est fait pirater par un groupe de hackers tunisien baptisé « Fallaga Team ».

    Le message de propagande qui y était diffusé en lieu et place du contenu habituel du site a été retiré et on peut se féliciter de la rapidité d'action du DTIC (administration de l'informatique en Wallonie), mais le site était encore inutilisable plusieurs jours après l'attaque.

    Même si ce site internet ne contenait pas d'information sensible, on ne peut que s'inquiéter de la multiplication de ce genre d'attaque terroriste informatique. En effet, il suffit de rappeler le récent piratage de la chaîne TV5 monde et de plusieurs de nos quotidiens.

    Le site economie.wallonie.be était-il particulièrement vulnérable au niveau sécurité ? Qu'en est-il des autres sites publics de la Wallonie ?

    Le niveau de protection des sites internet des services publics de Wallonie sera-t-il relevé suite à cette attaque ?

    Quelles initiatives Monsieur le Ministre compte-t-il prendre en la matière ?
  • Réponse du 21/05/2015
    • de LACROIX Christophe

    Les premières traces d’attaque sur le serveur hébergeant quelques sites du portail wallonie.be remontent à l’après-midi du vendredi 10 avril.

    Les sites web et les applications back office du Service public de Wallonie sont exploités sur plus de 1000 serveurs (physiques et virtuels) dont le DTIC assure l’hébergement et la gestion. Vu le nombre de serveurs, la détection d’un comportement anormal des équipements ou d’une activité anormale des applications exploitées est assurée par des systèmes de surveillance automatique qui fonctionnent sur base de paramètres techniques (un nombre de connexions, l’heure à laquelle se font les connexions, …) définissant une activité supposée « normale ».

    Le défacement ou détournement de pages de sites web n’est pas en soi détectable sur base de tels critères. Compte tenu de l’heure de l’attaque (14H05) et du fait que le DTIC ne gère pas le contenu de ces sites, l’édition du contenu étant assurée par chaque service concerné disposant des droits d’édition (en l’espèce un service de la DGO6), une activité sur le site à cette heure de la journée n’était pas davantage détectable de manière automatique comme un événement anormal.

    Il est évident que le jour et l’heure de l’attaque n’ont pas été choisis par hasard.

    Les actions visant à éviter toute expansion de l’attaque dont la nature n’était alors pas diagnostiquée ont été prises à 19H35 par les services de garde du DTIC dès apparition des premiers symptômes rapportés par les visiteurs du site via les réseaux sociaux, puis par voie de presse (à 19H30).

    Le lien vers la vidéo incriminée n’est resté en ligne que quelques heures, au cours desquelles l’essentiel des appels vers le site renvoyant vers la vidéo, s’est produit suite à l’effet d’annonce du piratage. Le serveur a été isolé du réseau et coupé, les liens vers les traces de défacement ont été désactivés, la vidéo incriminée, qui ne se trouvait d’ailleurs pas sur le site du SPW mais bien sur Youtube (ce qui indique un niveau « faible » de pénétration de la sécurité de l’infrastructure informatique du SPW), a été supprimée et une page de maintenance mise en place sur le portail.

    La faille exploitée est liée à la technologie utilisée pour la gestion du contenu du site web concerné, à savoir Drupal. Cet éditeur annonçait une faille de sécurité (d’un niveau critique « modéré ») de type « buffer overflow » le 13 mars 2015 et le déploiement d’un patch correctif a été proposé par les services techniques pour y pallier dès le 18 mars.

    Malheureusement le déploiement de ce correctif n’a pu être réalisé depuis lors sur le site incriminé, car cela nécessite une mise à niveau du site par les gestionnaires des contenus, et implique de nombreuses actions. Pour éviter des risques de ruptures de service pour les clients de ces sites web, le déploiement de ce correctif avait donc été postposé afin de laisser le temps aux gestionnaires de contenu de réaliser les tests et les adaptations nécessaires.

    Le défacement a pu être réalisé par une exploitation de cette faiblesse qui est documentée par Drupal sur internet. Un pirate peut donc aisément programmer une recherche de sites web tournant sur des outils dont la version présente cette faiblesse.

    Il convient de signaler que le système d’information du SPW comprend, par la diversité des activités du service public, mais aussi pour des raisons historiques, de nombreuses technologies parfois dans des versions différentes, faisant l’objet de « faiblesses techniques » identifiées et donc de très nombreux correctifs. Le nombre de personnes pour évaluer les risques, organiser puis déployer les correctifs et réaliser des adaptations subséquentes des sites est par contre limité et des choix doivent donc être posés pour concilier ressources disponibles, accessibilité des sites et gestion de leur sécurité.

    Le site economie.wallonie.be est un portail fédérant l’accès à divers sites web dont seule une partie utilise la technologie Drupal.

    Les pages statiques (ex : les formulaires de demandes de licences d’armes, le site du département du développement économique, …) ne recourant pas à la technologie incriminée, ont été remises en ligne dès lundi 13 avril et leur accès rendu possible par une url sur la page de maintenance du portail. Le serveur piraté a été reconfiguré et mis à disposition des gestionnaires de contenu le mardi 14 après-midi et a été remis en service ce jeudi 16 avril, au terme des tests nécessaires pour la dernière version des correctifs et des validations réalisées par les éditeurs de contenu.

    Par précaution, certains services gérant le contenu de sites non piratés ont également décidé de limiter l’accès à certaines fonctionnalités (ex : le site des  pôles de compétitivité).

    Compte tenu des moyens globalement à disposition, tant au niveau des services techniques que métier, le traitement de cet incident de sécurité a été réalisé rapidement et de manière proportionnée.

    Les sauvegardes du site permettront de reconfigurer un serveur sans perte de contenu. Ce site ne contenait que des données publiques (non subordonnées à identification/authentification) non personnelles et non confidentielles.

    Une plainte a été déposée avec communication du détail technique nécessaire auprès de l’antenne régionale de Namur de la Computer Crime Unit.

    Selon la nomenclature utilisée par le DTIC, cet incident est qualifié d’ « incident de sécurité majeur » et à ce titre il fait l’objet d’un rapport systématique retraçant les circonstances de l’incident, les étapes de son traitement et d’une analyse débouchant sur des éléments d’amélioration tant techniques qu’organisationnels.

    Ce rapport toujours en cours d’actualisation ne sera pas publié pour d’évidentes raisons de sécurité, mais il comporte effectivement plusieurs propositions d’améliorations dont la mise en œuvre sera proposée.

    L’organisation de la sécurité est en effet fonction de l’analyse des risques objectifs -ou perçus- et de choix de priorités (ex : maintenance technique vs « dynamisme » du contenu des sites) dans l’allocation de moyens par définition limités, ou d’ajustement de ces moyens.

    Afin d’aider à la définition de ces priorités et des moyens adaptés pour y faire face, les éditeurs de sites ou promoteurs d’applications hébergées seront notamment sollicités afin de mesurer et motiver le niveau d’exposition à un risque de leurs données et l’impact de la concrétisation de ce risque.

    Nul doute que la perception actuelle du risque lié au report de déploiement de correctifs techniques n’est pas la même ce jour et avant le 10 avril. En sens inverse, déployer systématiquement tous les correctifs de sécurité définis par les éditeurs de logiciels n’est pas davantage possible sous peine de garder les sites en maintenance permanente ou de devoir grossir les effectifs informatiques pour assurer les opérations de maintenance technique pendant la nuit.

    Les incidents de sécurité (hacking, virus, …) provenant d’auteurs malveillants sont courants, même si l’origine de celui-ci suscite en l’espèce un émoi particulier lié à la conjoncture internationale. La surveillance de nos équipements permet par exemple d’identifier qu’ils sont régulièrement « sniffés » par des équipements identifiés dans plusieurs zones géographiques.
    L’imagination des pirates est sans limites et il est impossible de garantir le niveau de sécurité 0 incident.

    Je veillerai à renouveler la sensibilisation de mes collègues du gouvernement et des services de l’administration wallonne à cette nécessaire sécurité de l’information. Mais il est évident que, compte tenu de cet incident, le niveau de vigilance aux agressions externes à la sécurité a été relevé par mes services.