Alcatel fait ce qu’il peut pour mettre à l’abri les données personnelles des candidats à un job. Mais Alcatel peut peu.
"Un peu perdu dans le monde Internet ? Alcatel, architecte d’un monde Internet." Le message d’attente du standard téléphonique d’Alcatel précise qu’il suffit de demander les plans à ceux qui les ont. Visiblement, il manque les plans du peu sécurisé serveur www-jobs.alcatel.fr au mastodonte français qui a failli absorber Lucent. Dans la soirée du mercredi 30 mai, le service de presse qui devait rappeler Transfert dans la journée était toujours accaparé par l’actualité économique brûlante. Le même service reste injoignable ce jeudi. Dans le même temps, les services informatiques ont, semble-t-il, tenté une opération d’urgence... Incapables, pour l’instant, de protéger l’accès aux données personnelles des candidats à un job chez Alcatel, les techniciens ont purgé le contenu de la base. En clair, les informaticiens de l’architecte d’Internet ont estimé qu’en attendant de comprendre ce qui se passait, il suffisait de virer les fiches envoyées par les postulants. Manque de chance : Alcatel attire du monde et, dès mercredi soir, deux nouvelles futures recrues avaient déposé leur coordonnée et leur CV... Par ailleurs, les informations sur les personnes qui se sont abonné ou désabonné de la liste de diffusion des communiqués de presse sont consultables par les internautes...
Faille triviale
Le cas Alcatel est pourtant d’une simplicité biblique. Le logiciel utilisé comme serveur web pour le site www-jobs.alcatel.fr (Lotus Domino d’IBM) a ceci de particulier qu’il révèle toutes sortes d’informations si l’on ne passe pas des jours à vérifier toutes les améliorations trouvées par les utilisateurs. IBM France s’était d’ailleurs laissé abuser et diffusait, à qui le voulait, les coordonnées des gens postulant pour un poste (http://www.transfert.net/ancien/fr/report/ibm/ibm.htm). Bizarrement, les informaticiens d’Alcatel n’ont pas trouvé le moyen de palier cette faille triviale. Qu’en est-il des problèmes plus complexes ?
L’autre enseignement de cet incident, c’est que les administrateurs des sites ne sont pas alertés quand des données, censées rester confidentielles, s’affichent pour un visiteur extérieur. Corollaire, il est probable que les administrateurs soient tout aussi aveugles lorsqu’un vilain pirate s’attaque véritablement au réseau. Sans parler des logs (les traces informatiques)... Mercredi soir, un interlocuteur du groupe expliquait que les techniciens "essayaient de comprendre" ce qui s’était passé. Il suffit pourtant de regarder dans les logs pour le savoir... Les architectes appartiennent à une profession sinistrée.