Close
  • Français
  • English

Qui est Tristan ?

Tristan est recruté en 2017 dans une grande collectivité, comme chef de projet. C’est son premier emploi, il tient à faire bonne impression. Il se voit confier la mise en œuvre d’un progiciel que la collectivité vient tout juste d’acquérir et qui rassemble toutes les données personnelles des agents, du public, … bref, de tout le monde, pour préparer le RGPD.

Tristan comprend toute l’importance de cette mission et qu’il n’a pas le droit à l’erreur, encore moins aux retards. Tristan a toujours été un bon élève, très appliqué, très rigoureux. Il contacte l’éditeur du logiciel qui a remporté l’appel d’offre et se met en relation avec les équipes techniques.

Il déploie son projet avec l’administrateur système réseaux qui lui confie un serveur. Il s’entend bien avec les autres chefs de projets qui l’aident à connecter le tout aux systèmes de gestion des ressources humaines, puis au système des demandes d’aide sociale du public, aux tiers financiers, aux contacts institutionnels, etc.

La direction n’a jamais jugé nécessaire de recruter un vrai RSSI, indépendant et compétent, considérant que les administrateurs systèmes ont parfaitement démontré leurs compétences. La preuve : ils imposent à Tristan de créer des comptes spécifiques séparés et identifiés dans l’annuaire pour toutes ces connexions.

Les mots de passe sont composés de 16 caractères et sont soumis à un niveau de sécurité élevé. Tous ces comptes sont bien classés dans les fichiers de configuration de l’application.

Le projet avance, tout se met en place, Tristan sera prêt pour mai 2018. Il prépare sa démonstration pour sa cheffe et son directeur. Il reste tard le soir et ne compte pas ses heures pour s’assurer que tout soit prêt pour le lendemain. Mais à ce moment-là, la démo plante !

Il appelle l’éditeur, un peu affolé : “C’est pour demain matin, je ne peux pas me permettre de planter la démo !”

L’éditeur le connaît bien. Il lui propose de l’aide immédiatement : “Il me faudrait un visu sur le serveur Front. Tu as un Teamviewer ?”.

“J’en installe un tout de suite”.

A ce moment-là, Tristan est plus préoccupé par la réussite de sa présentation que par les questions de sécurité. Il télécharge la version 12 de Teamviewer et l’installe sur le serveur Front, comme demandé par l’éditeur. Il lui envoie les codes de prise de main à distance immédiatement.

2 heures plus tard, tout est revenu en ordre, la démo fonctionne de nouveau. Tristan rentre se coucher, soulagé. Il est prêt pour demain. La démo se passe bien, son projet est une réussite. Les années passent et il se voit confier des projets de plus en plus importants, et de petites promotions.

Le 24 février 2020, c’est l’agitation lorsqu’il arrive au bureau. Le RSSI nouvellement embauché l’arrête : « Il me faut tous les projets dans lesquels on a configuré des accès au logiciel de paye. Il me semble que tu en as un. »

Quelques explications et discussions avec ses collègues le mettent vite au courant : tous les systèmes et les bases de données RH, sociales, finances ont été piratés et chiffrés, et un échantillon des payes de toute la direction a été envoyé depuis une adresse email intraçable. On leur demande une rançon de 230 Bitcoins pour éviter que ces données soient rendues publiques et pour que les systèmes affectés soient débloqués.

Après quelques jours d’analyse forensique, le cabinet d’expert leur apprend que les pirates sont passés par le l’accès Teamviewer laissé ouvert sur le serveur de son application et ont exploité une CVE-2018-16550 en forçant l’accès. L’étude des logs indique qu’ils ont multipliés les tentatives d’authentification depuis le mois de décembre précédent, qui ont finalement aboutit fin janvier. Ils ont ensuite réussi à remonter et bloquer toutes les machines liées, puisque tous les mots de passe étaient stockés en clair dans les fichiers de configuration.

Conclusion du rapport d’analyse : “ne pas laisser d’accès Teamviewer, logmein, remotepc, et autres logiciels de bureau à distance… ouverts sans supervision, signé Camille”.

Conclusion de l’histoire : Tristan est sanctionné pour avoir bien fait son travail, et l’organisation dans laquelle il travaille ne comprend toujours pas qu’il s’agit d’un problème d’organisation des projets et de management. Il n’aurait jamais dû être laissé seul pour gérer son projet et toute installation d’un logiciel ouvrant des failles doit faire l’objet d’un rapport à un spécialiste conscient des risques cyber.

Mais cette conclusion n’est pas dans le rapport car, même si Camille en a conscience, sa mission n’est pas de remonter ce type de problèmes… au risque de vexer quelques égos dans la direction cliente…

Nous sommes tous Tristan, et peu de managers écoutent vraiment ce que Camille aurait à dire !