Faille de sécurité : un employé condamné pour avoir mis à jour une réalité critique
Un ancien collaborateur de Engie a été arrêté et condamné au pénal pour avoir pris le contrôle deux ensembles de terminaux via Active Directory.
Les faits se déroulent en août 2020. Le système informatique du groupe énergétique Engie est en branle. Selon toute vraisemblance une personne a réussi apprendre de manière brève le contrôle d’une des forêts. Ce qui regroupe à plusieurs domaines en soit 188 000 machines et 232 000 comptes d’utilisateurs Active directory. Le coupable : un employé de la société de fournitures d’électricité toujours en poste en ce moment. Il réussit l’exploit de s’octroyer des droits et privilèges très élevée sur l’Active directory, ce programme informatique qui permet de gérer de manière centralisée, des ressources, des permissions et bien sûr des comptes.
Cet article va aussi vous intéresser : Un responsable de sécurité de système d’information condamné à 2 ans de prison pour avoir vendu des switchs Cisco sur eBay
Cette situation a mis en évidence quelque chose que tout le monde savait déjà. La vulnérabilité que représente Active directory est quelque chose de bien réel et de presque courant. Plusieurs organisations sont malheureusement soumises à cette faille de sécurité. Du côté des pirates Informatiques, cela est considéré comme étant une sorte de « Graal ».
Cette situation a beaucoup été rappelée par le CESIN. L’association qui réunit les professionnels de la sécurité informatique. La réalité est la, ces dernières est très mal sécurisé. « …de nombreux accès aux données du système d’information ». Du côté de l’Agence nationale de sécurité des systèmes d’information, les spécialistes en se sont plaints d’un « manque de maturité critique et récurrent sur la sécurité ».
En revenant à l’intrusion subie par la société d’électricité, il faut signifier que l’ancien employé a écopé ce lundi 8 mars dernier d’une peine de 4 mois de prison avec sursis suivi d’une amende de 15000 €, aussi assortie au deux tiers d’un sursis. Sa sanction a été tranchée par le tribunal judiciaire de Paris pour « accès frauduleux dans un système de traitement automatisé de données ». Du côté de son ancien employeur c’est-à-dire la société d’électricité, celui-ci a exigé le paiement de 1 € comme dommages et intérêts. Une exigence symbolique quand on sait que ces incidents ont coûté près de 238 000 € à la société d’électricité.
D’une certaine manière on peut dire que l’ancien employé s’en sort assez bien en ce sens que le parquet lui avait demandé un an de prison avec sursis alors que du côté de la défense il avait été demandé une simple peine assortie d’amende. L’exigence du parquet s’explique par le fait que l’exploit de l’ancien employé a survenu que quelques jours avant son départ de la société. C’est qui fait planer certains doutes sur ces véritables intentions.
La faille de sécurité découverte par l’ancien salarié concerne certaines infrastructures Telecom de la société d’énergie. Des infrastructures protégées par un mot de passe très mal constituée « Password ». Cela ressemble à une mauvaise blague mais c’est effectivement cela.
« On pourrait en rire, mais au moment des faits j’étais d’une inquiétude absolue : on ne peut pas laisser un compte de service avec un tel mot de passe », l’ancien employé lors de son procès, lundi 8 mars. On comprend alors sa réaction lorsque on sait que « password » est dans la catégorie des mauvais mots de passe avec les fameux « 1 2 3 4 5 6 ».
« Avec ce compte de service, je me suis rendu compte que je pouvais aller sur un autre serveur. Je réitère la même démarche, interroge l’annuaire, jusqu’à voir un compte administrateur qui traîne » explique alors l’ancien employé de Engie. Suite à cet exploit, il rédigea un rapport accompagné de certaines recommandations il adresse alors au responsable de sécurité de système d’information de la société. C’est suite à cela une plainte a été déposée contre lui. Malheureusement pour ce spécialiste de la sécurité informatique, regarde du Droit son acte se qualifie d’une infraction. Cela ne peut être appréhendée comme un audit sans intention malveillante. « C’était mon devoir d’alerte, il était nécessaire d’alerter Engie pour qu’il y ait un minimum de sécurité informatique », explique néanmoins le condamné.
Malheureusement pour ce dernier son initiative n’est pas appréhendée de la même manière par tous.
« Lorsque nous faisons un audit, nous signons une convention de service avec notre client qui définit ses objectifs, ses limites, une fiche d’autorisation d’audit, et nous préparons des chartes déontologiques à destination de nos auditeurs », précise de son côté Nicolas Langeard, en charge de cette activité dans le cabinet de conseil Amossys, qualifié sur ce sujet par l’Agence nationale de sécurité des systèmes d’information depuis 2013.
Accédez maintenant à un nombre illimité de mot de passe :