Défaut de sécurité d’un site web ? Les candidats à la présidentielle 2017 aussi !

Défaut de sécurité d’un site web ? Les candidats à la présidentielle 2017 aussi !

Présidentielle - Drapeau français à La Rochelle (2014) - Par Mith (Travail personnel) [CC BY-SA 4.0 (http://creativecommons.org/licenses/by-sa/4.0)], via Wikimedia Commons

Personne n’est épargné, pas même les candidats de la présidentielle, ceci en rassurera certains. « Selon que vous serez puissant ou misérable », comme dirait Jean de La Fontaine ! Mais de quoi parle-t-on ? Des hacks de site internet !

Le piratage et les attaques des sites web sont le nouveau fléau numérique de la fin des années 2010. Mauvaise nouvelle : les entreprises françaises sont mal équipées pour y résister, grandes ou petites. De plus, comme un malheur n’arrive jamais seul, on observe désormais l’apparition du phénomène du « ransomware ». La rançon électronique. Rien que ça !

 

Eh bien, ceci ne vous consolera pas, mais vous n’êtes pas les seuls, entrepreneurs pauvres mortels, les candidats à la présidentielle 2017 ont aussi des ennuis dans ce domaine ! Petit florilège des récents déboires numériques de nos politiques qui aspirent à prendre la place suprême en France.

 

La présidentielle 2017 réserve aussi ses surprises dans le numérique

En-marche.fr, Fillon2017.fr, Marine2017.fr… L’élection présidentielle de 2017, dont le premier tour se déroulera le 23 avril, se joue aussi (et surtout) sur Internet. Tant de noms de domaines réservés, tant de sites web montés pour exposer le programme des candidats… Et participer ainsi à la propagande, dans le bon sens du terme.

Mais qui dit site web 2.0 attractif dit protection accrue obligatoire. Et sur ce point, les candidats n’ont pas forcément eu la diligence nécessaire (ou l’argent) pour sécuriser au maximum leur(s) site(s). Même si, évidemment, le risque zéro et la sécurisation à 100% n’existent pas.

Trois cas entre autres, du plus récent au plus ancien, résument bien la difficulté de la protection des sites internet.

 

Un site de Lutte Ouvrière laissait des données privées en accès libre

Nathalie Artaud et Lutte Ouvrière avaient un peu trop ouvert les vannes de leur intranet. Créé à partir de l’outil GitLab, ce dernier a été mal configuré. A tel point qu’il était possible de récolter les identifiants de connexion des camarades gestionnaires de site ! Aussitôt prévenue, l’équipe de campagne est intervenue et la faille de sécurité a été rapidement réglée. Ouf !

 

Un WordPress et une application des Républicains (très) mal sécurisés

A l’opposé question idées, c’est pourtant le même combat concernant deux projets web de la nébuleuse Fillon. En février, le site « Fillon2017.fr », un WordPress, n’avait pas été mis à jour depuis un an ! Du caviar pour les pirates, même les moins avertis ! Et un (gros) carton rouge pour le webmaster / l’administrateur…

Début avril, c’est cette fois-ci le site « https://www.app-fillon2017.fr » qui était visé. Contrairement à ce qui est annoncé dans l’URL (le https), il n’était absolument pas sécurisé ! Et les pirates pouvaient piéger les adresses URL et faire exécuter des codes Javascript malveillants par les internautes… Tout un programme !

 

L’équipe de campagne d’En Marche pas toujours très prudente

Pour finir, Emmanuel Macron et son mouvement « En Marche » ne sont pas en reste. En mars 2017, les équipes du candidat ont été épinglées par BuzzFeed News pour avoir laisser traîner des adresses mails en accès libre. Il suffisait de suivre un lien accessible du Net pour arriver sur un tableur Excel contenant les mails ! Et ce sans compter les demandes de suppression desdits mails des bases de données du mouvement d’Emmanuel Macron, non réalisées ! Donc au mépris de la loi Informatique et Libertés et des règles relatives à la protection des données personnelles

Comme un malheur n’arrive jamais seul, des suspicions d’attaques provenant de la Russie avaient été relayées par le plus jeune candidat à la Présidentielle.

Et nous ne parlerons pas de ce détournement, certes pas du piratage mais du cybersquatting / parodie, au choix… Un militant de gauche avait réservé avant le 1er mars le nom de domaine « programme-macron2017.fr », aujourd’hui indisponible, et qui faisait arriver les visiteurs sur cette page à l’époque :

programme-macron2017.fr - Copie écran du site

Et pour cause. Pendant les premiers mois de l’année, le programme d’Emmanuel Macron n’avait pas été présenté, certain(e)s (mauvaises langues) se demandaient même s’il existait vraiment…

 

Véritable préoccupation principale de l’agence web A Vos Sites Pros, la sécurité de nos sites internet WordPress est garantie au maximum de ce qu’elle peut l’être.