Sécurité informatique: «La brèche était plus grave que ce que l’armée a dit»
Publié

Sécurité informatique«La brèche était plus grave que ce que l’armée a dit»

Un soldat qui a découvert une brèche dans le système d’apprentissage en ligne estime que l’armée en a minimisé l’importance dans son communiqué de jeudi dernier.

Rekrut im Distance Learning (Homeoffice).
Bild: 20min / Michael Scherrer

Rekrut im Distance Learning (Homeoffice).
Bild: 20min / Michael Scherrer

20min/Michael Scherrer

Jeudi dernier, l’armée envoyait un court communiqué de presse pour expliquer qu’une faille dans un système informatique avait été détectée et corrigée aussitôt. Lundi, c’est à nos collègues de 20 Minuten que le soldat qui a mis le doigt sur les problème s’est confié. «La brèche de sécurité était beaucoup plus grave que ce que le communiqué laisse entendre», juge-t-il.

Déjà accessible librement

C’est en cherchant une adresse dans le Learning Management System (LMS) qu’il est tombé sur des numéros AVS, des adresses mail, des numéros de téléphone ou des noms d’utilisateurs de membre de l’armée ou de l’administration, et même des Services de renseignement ainsi que de deux conseillers fédéraux. À noter que les informations se trouvaient dans les codes source des pages, et non pas sur les pages mêmes.

Les données étaient visibles, mais il fallait vraiment aller les chercher.

Les données étaient visibles, mais il fallait vraiment aller les chercher.

Le soldat a reçu les remerciements de l’armée et même une probable récompense. «Il a eu accès à environ 250’000 enregistrements de données. Or, la plupart étaient librement accessibles sur internet», relativise le porte-parole de l’armée.

Des milliers de cas

Le soldat a toutefois cherché à savoir si ces données étaient également accessibles pour les personnes qui n’étaient pas enregistrées dans le système. Il affirme qu’il a pu le faire. La société qui développe le système affirme que c’est impossible. L’armée, en tous les cas, a rapidement réagi et corrigé le tir.

Thomas Dübendorfer, expert en sécurité informatique, explique que ce genre de failles est assez fréquent: près de 4000 cas ont été recensés dans le monde l’an dernier. Tout en reconnaissant qu’il y a une claire violation de la protection des données, il met également en perspective sa gravité. Aucun mot de passe ni aucun document classé confidentiel n’a été accessible à aucun moment.

(dk/ywe)

Ton opinion