Certains d’entre vous l’ont remarqué, un article du Canard Enchaîné et un article paru sur le site Kitetoa, tous deux en date du 10 septembre 2008, ont signalé une faille de sécurité dans l’accès à la base de données des signatures de l’Appel « Pour obtenir l’abandon d’EDVIGE ».
Cette faille, réelle, existait au niveau du logiciel de pétitions utilisé. Elle est corrigée depuis le 11 septembre. Par ailleurs, les administrateurs du site ont la trace des accès à la base de données, qui sont restés limités à moins de 10. On peut très probablement en conclure que ces accès n’ont été l’oeuvre que des personnes qui ont testé l’existence de cette faille.
Sans vouloir être trop technique, il faut toujours garder à l’esprit que, sauf preuve formelle - au sens mathématique - d’un programme, l’écrasante majorité des logiciels comportent des bugs, qui parfois se traduisent par des failles de sécurité. Un logiciel n’est donc fiable que jusqu’à la découverte du prochain bug.
Il reste que le groupe de contact du site « Non à EDVIGE » s’interroge sur la démarche des auteurs des deux articles, qui est, pour le moins, incorrecte.
C’est pourquoi nous avons pris la peine de rédiger le document d’information et de mise au point ci-joint, essentiellement à destination des membres du collectif et des autres signataires de l’Appel qui pourraient avoir été inquiétés par la lecture des deux articles mentionnés.
Le groupe de contact du site « Non à EDVIGE »
(contact nonaedvige.ras.eu.org).
Document d’information :
http://nonaedvige.ras.eu.org/IMG/pdf/InfoSecurite.pdf
Information et mise au point du groupe de contact du site « Non à EDVIGE » à propos de la sécurité du site à la suite des articles parus dans le Canard Enchaîné et sur le site Kitetoa 12 septembre 2008
Un article du Canard Enchaîné1 et un article paru sur le site Kitetoa2, tous deux en date du 10 septembre 2008, ont signalé une faille de sécurité dans l’accès à la base de données des signatures de l’Appel « Pour obtenir l’abandon d’EDVIGE ». Les administrateurs du site reconnaissent l’existence de cette faille, qu’ils ont entrepris de corriger à partir du 10 septembre. La base de données des signatures de l’Appel est à présent sécurisée de ce point de vue, et le site phpPetitions.org3 propose une nouvelle version du logiciel tenant compte de cette correction. Les administrateurs et le groupe de contact du site « Non à EDVIGE » tiennent par ailleurs à relever certains faits et erreurs troublants dans les deux articles mentionnés : - La similitude de la méthode employée, ou du moins décrite, dans les deux articles. Elle apparaît d’autant plus étrange qu’il ne suffit pas de disposer d’un code de plusieurs milliers de lignes répartis dans 15 à 20 fichiers pour trouver une faille logicielle qui existe quand même depuis deux ou trois ans ! - Les prétendus accès au mot de passe sont en réalité des accès à des mots de passe codés avec un codage puissant (MD5), non décryptables dans des délais si courts, même avec des puissance de machines que sont très loin de posséder le Canard Enchaîné et Kitetoa réunis. - La mention d’un « mot de passe par défaut dans le source du programme » est totalement fantaisiste : il n’y a pas de mot de passe par défaut, et le mot de passe utilisé actuellement est un mot de passe spécifique à ce site4. - Les deux articles prennent quelques libertés avec la notion de « piratage ». Accéder à tout ou partie d’un système de traitement automatisé de données, alors que l’on n’y a pas été formellement et clairement invité, est considéré, du moins dans des sphères plus
1 Voir : http://www.lepost.fr/article/2008/0...
2 Disponible à : http://www.kitetoa.com/Pages/Textes...
3 Voir : http://phppetitions.org/
4 Comme en témoigne cet utilisateur du logiciel : http://perso.heraut.eu/2008/09/ptit...
juridiques que journalistiques, comme un acte de piratage informatique. Le fait que les données étaient mal protégées à cause d’une faille de sécurité ne change rien à l’affaire. - La chronologie des évènements publiée par Kitetoa est mensongère. o Samedi 6 septembre, le bureau du Réseau associatif et syndical a été contacté par mail. Ce mail, non anonyme (d’après son site web, l’auteur est un spécialiste de la sécurité informatique), informait de la présence de failles de sécurité dans le logiciel phpPétition (et non spécifiquement dans l’accès à la base de données des signataires de l’Appel) et souhaitait connaître les coordonnées du développeur de ce logiciel afin de lui indiquer les corrections techniques à apporter. Une procédure tout à fait normale et saine dans tous les cas d’identification de failles de sécurité dans un logiciel, notamment dans le monde des développeurs de logiciels libres. o Lundi 8 septembre, le développeur du logiciel phpPétition, par ailleurs président du Réseau associatif et syndical et membre du groupe de contact du site « Non à EDVIGE », répond à ce message pour prendre connaissance des corrections à apporter. o Mardi 9 septembre, l’interlocuteur répond et fournit les corrections. o Mercredi 10 septembre, les corrections sont entamées sur le logiciel phpPétition. o Jeudi 11 septembre, la base de données de l’Appel est spécifiquement corrigée. Ce site n’a en effet jamais été mentionné par l’interlocuteur du Réseau associatif et syndical, pour la bonne raison qu’il avait constaté la faille de sécurité en testant le logiciel phpPétition. Il est donc faux de prétendre ce qu’on peut lire dans l’article de Kitetoa. En résumé, la démarche des auteurs des deux articles est, pour le moins, incorrecte. Elle ne mérite que le mépris, que le but de telles manoeuvres soit une tentative de démobiliser l’opposition aux fichiers EDVIGE et CRISTINA, ou le souhait opportuniste de profiter de cette formidable mobilisation pour se faire valoir à peu de frais. Quoi qu’il en soit, cette affaire n’a aucunement découragé les défenseurs des libertés. 15.000 signatures supplémentaires ont en effet été confirmées entre le 9 septembre au matin (130.000 annoncées lors de la conférence de presse du collectif) et le 11 septembre au soir (145.000 signatures affichées sur le site http://nonaedvige.ras.eu.org/). 5.000 signatures par jour, de surcroît pendant la période où le site, surchargé, était extrêmement difficile d’accès. Les failles de sécurité sont à présent corrigées, de plus des mesures ont été prises de sorte que le site bénéficie maintenant d’un accès rapide, malgré le nombre très important d’accès simultanés. La mobilisation doit se poursuivre et s’intensifier : le décret n’a toujours pas été annulé. Les annonces gouvernementales sont à prendre pour ce qu’elles sont, c’est-à-dire de simples opérations de communication. Expurger le décret de quelques aspects controversés ne le rend pas inoffensif. Soyons toujours plus nombreux à dire NON à EDVIGE ! Le groupe de contact du site « Non à EDVIGE » (contact nonaedvige.ras.eu.org).
RSS 2.0