Au lendemain du 30 Mai dernier, en début de journée, plusieurs internautes se rendant sur le site du ministère de la jeunesse Camerounaise (www.minjeun.gov.cm) se sont rendu compte qu’il avait été victime d’un défacement (1). On y voyait, contrairement à la jolie bannière verte habituelle brandissant les couleurs nationales, une page sur fond noir et des écrits en blanc ; avec en prime un message du groupe revendiquant l’infraction et un hymne frénétique en fond sonore. Il s’agissait d’un groupe de pirates nommé « Dz4Hack » se réclamant de la section Anonymous (2) Algérie. C’est à ce demander en quoi le défaçage d’un site Camerounais influencerai une quelconque décision dans le processus actuellement en place en Algerie. La page d’accueil du site nous renvoyait ceci : SIte Ministère de la jeunesse Cameroun

Par la même occasion, suite à quelques investigations superficielles, l’on s’aperçoit que le site du Ministère de la jeunesse n’était pas le seul à avoir subi leurs assauts ce jour, il en est de même de celui du ministère des Transports (http://www.mint.gov.cm) , du Tourisme (http://www.mintour.gov.cm ), du Ministère de la Promotion de la femme et de la Famille (http://www.minproff.gov.cm), ainsi que celui dédié à l’action gouvernementale contre la Grippe Aviaire (http://www.grippeaviaire.gov.cm) ont eux aussi été victime du même groupe pendant la même période. A l’heure de la rédaction de cet article, ces sites n’ont pas encore tous été remis en service.

Quelques jours plus tard, c’était au tour du ministère de la culture (http://mincult.gov.cm), celui de la faune et de la forêt (www.minfof.gov.cm) et celui du Programme d’Amélioration de l’Administration pour une Gestion Axée sur les Résultats (www.promagar.gov.cm) de subir le même sort.

C’est donc ainsi un total de 8 sites institutionnels camerounais qui ont été défacés durant la période du 30 Mai au 4 Juin 2012.Sites web camerounais défacés

Cette capture d’écran a été prise sur le site Zone-H (www.zone-h.org) qui,  rappelons–le, est un site d’actualité sur la sécurité informatique et de référencement des différents défacements de sites web découverts au jour le jour dans le monde entier. En cliquant sur le lien « *mirror *» il est possible de consulter la version en cache du site le jour de l’attaque, même si les administrateurs du dit site l’ont déjà remis en service. C’est le cas par exemple avec celui du Ministère de la culture qui ressemblait à ceci :
Site web Ministère de la culture Cameroun

Tout ceci soulève d’autres problèmes parmi lesquels :

  • La sécurité de nos Infrastructures : Comment est gérée la sécurité des Systèmes et Applications utilisés pour la mise à disposition de nos sites gouvernementaux? il serait important de normaliser les mesures de Sécurité prises dans l’environnement des Systèmes et Réseaux hébergeant ces sites et services de l’Etat

  • L’attribution de ces marchés : Les sites web en eux-mêmes, comment et par qui sont-ils conçus? ces prestataires ont-ils les compétences techniques nécessaires pour bien les réaliser? les bases sur lesquelles les prestataires sont choisis dans ce genre de marchés doivent être revues.

  • La formation du personnel : Le personnel chargé de l’administration de nos interfaces web publiques est-il suffisamment renseigné sur la problématique de Sécurité Informatique?

  • Les mesures mises en place pour palier de tels incidents : la nécessité de faire des Audits de Sécurité périodiques tant sur nos Infrastructures que sur les services qui sont hébergés par ces Infrastructures.

Et là je n’ose même pas soulever le volet du financement de ses sites à des sommes faramineuses dont on se demande bien à quoi cela sert-il si c’est pour avoir les rendus que nous constatons.

Notons que, jusqu’à présent, personne ne sait exactement depuis quand est-ce que ces sites ont été compromis, ni si les pirates qui l’ont fait avant de défacer la page d’accueil de ces sites ne les ont pas utilisé comme vecteurs d’attaque pour infecter et prendre le contrôle des ordinateurs des internautes les ayant visité. Car le défacement n’est que la partie visible de tout ce qu’ils ont pu faire.

D’aucun me diront « tous les sites sont piratables » c’est vrai. Toutefois, au risque de choquer certains, la mission première de la sécurité de nos vitrines web n’est pas de les rendre impénétrables (car la perfection n’existe pas encore) mais plutôt,  de compliquer autant que cela se peut la tâche d’un éventuel hacker tout en assurant la disponibilité et l’intégrité de l’information pour le public cible.

Le problème de fond avec tous ces sites c’est qu’il est criard de voir à quel point les concepts de base de Sécurité sont bafoués. A titre indicatif, la plupart sont hébergés sur des systèmes non patchés (3) et de ce fait vulnérables à des failles connues de tout hacker qui se documente un peu. Les versions des CMS (4) et autres serveurs d’applications  sont généralement obsolètes avec tous les risques de sécurité encourus. Et le comble c’est que les personnes mêmes qui codent et administrent ces sites ne sont pas toujours des professionnels en-là matière.

J’interpelle de ce fait l’ANTIC (Agence Nationale des Technologies de l’Information et de la Communication www.antic.cm) qui selon l’arrêté présidentiel No 2002/92 d’Avril 2002, Article 3, Alinéa 3, comme mission : « coordonne la réalisation et assure le suivi des sites Internet, Intranet et Extranet de l’Etat et des organismes publics » et de son CIRT (Computer Incident Respond Team) à redoubler d’effort dans ce sens. De la conception du cahier de charge à la mise en service d’une vitrine web gouvernementale, l’ANTIC devra y apporter une attention particulière ; car les consultants sont généralement là juste pour leur argent tandis que les personnels des ministères n’ont pas toujours la maitrise technique nécessaire pour de tels projets et se laissent emporter par n’importe quel « vendeur » de site.

Faire un site c’est bien, avoir une vitrine publique en ces temps modernes est devenu presque obligatoire ; mais avoir une vitrine (constamment) brisée fini par produire l’effet inverse que celui initial. Il devient de ce fait capital de mettre à la disposition du public des sites web respectant les standards de sécurité d’applications Web, dont le Framework OWASP (Open Web Application Security Project www.owasp.org ) en est un bon exemple.

Valdes Nzalli

(1)   Défacement : http://fr.wikipedia.org/wiki/D%C3%A9facement

(2) Anonymous : http://fr.wikipedia.org/wiki/Anonymous_%28collectif%29

(3) Patch : http://fr.wikipedia.org/wiki/Patch_%28informatique%29

(4) CMS : http://fr.wikipedia.org/wiki/Syst%C3%A8medegestiondecontenu

Free Translation Widget