Via le Web, tout internaute peut aisément télécharger la base de données qui contient les coordonnées des donateurs du Téléthon. Une aubaine pour tous les organisateurs de telles opérations...
Les bugs du serveur Web IIS de Microsoft ne sont visiblement pas la tasse de thé des ingénieurs d’Oléane, la filiale de France Télécom qui héberge le site du Téléthon. Alors qu’ils ont été prévenus par mail et alertés par les organisateurs de l’opération, les techniciens d’Oléane laissaient encore, mardi 12 décembre au soir, accès au login et au mot de passe de la base de données contenant les informations relatives aux donateurs. L’identifiant et le mot de passe sont identiques, ce qui va à l’encontre de toutes les procédures de sécurité de base. ...trange... Un premier bug sur le serveur a été corrigé la semaine passée. Mais un autre, tout aussi connu, continue d’être présent sur le site. Bilan : n’importe quel internaute peut lire un code, normalement invisible, dans lequel figure le nom de la base de données, l’identifiant et le mot de passe. Un pirate peut ensuite facilement utiliser un client SQL (logiciel permettant de se connecter à la base de données) et, sans doute, récupérer le nom, le sexe, le montant des dons, l’adresse, le téléphone et l’e-mail des donateurs.
C’est pas moi, c’est lui, m’sieur !
Prévenus, les organisateurs de l’opération se sont retournés vers l’entreprise qui a conçu le site (Pictime, récemment rachetée par Cable & Wireless) et celle qui héberge le serveur (Oléane). Chacune se renvoie la responsabilité de la situation, précisent les organisateurs du Téléthon. Mais, mardi soir, personne ne semblait avoir pris le temps de résoudre le problème. Pourquoi le serveur du Téléthon est-il sujet à un bug connu depuis mars dernier ? Mystère. En tout cas, il est affligeant de voir qu’une entreprise comme France Télécom n’est pas capable de fournir une solution sécurisée pour une telle opération. Et les deux entreprises concernées (Pictime qui aurait pu choisir de ne pas placer l’identifiant et le mot de passe à cet endroit lors du développement et Oléane qui aurait pu installer un serveur sécurisé) pourraient s’intéresser davantage à la réparation du problème plutôt que de se renvoyer la balle...