En général, les pages web problématiques que nous avons relevées affichent un contenu morcelé (bouts de texte manquants, images qui ne s'affichent pas...) ainsi qu'une série de messages d'erreurs informatiques, incompréhensibles pour le commun des internautes. Pour l'oeil du néophyte, il ne s'agit que de pages web inutilisables, sans aucun intérêt.
En général, les pages web problématiques que nous avons relevées affichent un contenu morcelé (bouts de texte manquants, images qui ne s'affichent pas...) ainsi qu'une série de messages d'erreurs informatiques, incompréhensibles pour le commun des internautes. Pour l'oeil du néophyte, il ne s'agit que de pages web inutilisables, sans aucun intérêt.
Mais ce qui intéresse les pirates qui souhaiteraient s'introduire dans ces sites web, ce sont justement ces quelques lignes d'instructions informatiques qui s'affichent par erreur.
«Ces pages sont générées par des requêtes délibérément invalides. En conséquence, il plante et affiche un message d'erreur», explique Hugo Fortier de chez Security Compass, société de Toronto qui pratique des tests d'intrusion pour des clients du secteur financier.
«Il s'agit de vulnérabilités que l'on voit souvent. Je ne dirais pas qu'elles sont normales, mais elles sont fréquentes, estime M. Fortier. Ce ne sont pas des problèmes qui permettent d'entrer directement dans le serveur, mais plutôt des symptômes d'un problème qu'un pirate pourra exploiter grâce à ces informations.»
Petite explication: sur le web, les serveurs qui hébergent les sites doivent régulièrement mettre à jour leurs logiciels à mesure qu'on découvre de nouvelles vulnérabilités - ce qui arrive régulièrement. Dès qu'elles sont connues, il est facile pour des pirates de les exploiter en cherchant dans Google les sites qui ne les ont pas réparées, en se servant d'une requête spécialement orthographiée ou d'une série de codes connus de la vulnérabilité.
Ils se servent pour cela d'outils de recherche automatique, qui ne visent pas un site en particulier mais n'importe quel site capable de leur ouvrir la porte. Une fois celle-ci ouverte, l'étendue des dommages possibles est large; soit les pirates peuvent simplement afficher sur le site un texte et des images de leur création par pure bravade (on appelle ça un «defacement»), soit ils peuvent prendre le site en otage pour lancer de nouvelles attaques sur le web en se cachant derrière cette identité usurpée.
Plus grave encore, ils peuvent pénétrer dans le réseau interne de l'institution et s'emparer d'informations confidentielles. Ils peuvent pour cela utiliser un procédé «SQL» (langage pour communiquer avec une base de données), pour envoyer une requête non prévue par le système, qui permet d'obtenir frauduleusement un mot de passe et de se faire passer pour un utilisateur légitime.
Certaines des pages web gouvernementales qui posaient problème pendant notre enquête auraient permis ce type d'attaque. C'est d'ailleurs avec une injection SQL que des pirates ont pris le contrôle du site du ministère fédéral de la Justice, début septembre. Selon Marek Roy, de Sekcore, les pirates auraient pu accéder à des informations internes du Ministère à partir de ce point d'entrée.
«Normalement, un site sécuritaire ne devrait pas afficher de tels messages d'erreur au grand jour, juge M. Fortier. En effet, ils donnent beaucoup d'indices à l'attaquant: le nom et la version du logiciel, les noms des dossiers du serveur, etc. C'est très pratique pour la reconnaissance, qui est toujours la première étape d'une attaque.»
À lire aussi :
Sécurité internet: des ministères vulnérables