Sur le site de Cegetel, un slogan proclame que "le monde s’ouvre". Si l’on en croit le webzine satirique Kitetoa, il s’ouvre même un peu trop : les serveurs Web de l’opérateur de téléphonie présentent de graves failles de sécurité. Visiblement mal protégés, ces derniers laissent le visiteur expérimenté accéder facilement à des données confidentielles. Copies d’écran à l’appui, Kitetoa publie ses trouvailles : des mots de passe utilisés pour administrer à distance le Web du Réseau Santé Social, le service de Cegetel (hautement confidentiel) visant à gérer les feuilles de soins et exclusivement réservé aux médecins ; ainsi que la procédure de mise à jour du serveur, stockée sur un fichier Word.
Serveurs mal configurés
Mais c’est sur le site http://www.cegetel-entreprises.fr, destiné aux professionnels, que le webzine a accédé aux informations les plus étonnantes : des comptes rendus de réunions internes estampillés "confidentiel" ou des documents Word sur les contrats en cours. Pourtant, Cegetel "ne lésine pas sur les pages expliquant sa politique de sécurité", ironise Kitetoa, qui s’étonne de voir une entreprise vendant des hébergements de serveurs Web si peu soucieuse de ses propres données. Le webzine a constaté des failles du même genre sur le site Web de SFR (la filiale mobiles de Cegetel) ainsi que sur ceux du cybercafé de Vivendi (propriétaire de Cegetel) et de PoWow, un journal en ligne publié par le groupe.
Pour visiter ces sites, Kitetoa a utilisé la technique dont il s’était déjà servie lors de ses balades chez Suez et Zebank (voir article de Transfert) : une mauvaise installation des serveurs Netscape, qui permet d’exécuter des commandes directement à partir de l’url des sites. Des commandes normalement désactivées. "J’ai prévenu Cegetel mais l’erreur n’a toujours pas été réparée", annonçait le webzine vendredi 5 mai en fin d’après-midi.
Le même jour, chez Cegetel et Vivendi, ni les responsables des serveurs ni ceux de la communication n’étaient au courant. Visiblement tout le monde semblait davantage préoccupé par le virus ILOVEYOU. Il leur était d’ailleurs impossible de vérifier les assertions du webzine : tous les accès au Net étaient coupés, histoire de se prémunir contre les ravages du dangereux message contaminé.
http://www.kitetoa.com
http://www.kitetoa.com
http://www.cegetel-entreprises.fr
http://www.cegetel-entreprises.fr