Enjeux

Des plans de prison en un clic

Mots clés : Conception - Établissements pénitentiaires et judiciaires - Télécommunications

« Le Moniteur » a découvert sur Internet une mine d’informations concernant un centre pénitentiaire. En cause : les failles de sécurité d’un bureau d’études.

Ce sont des documents rêvés pour tout aspirant fugitif. Les plans complets d’une prison avec des informations très détaillées, de la taille des portes à la forme des cellules en passant par les canalisations menant tout droit à l’extérieur. La prison est verrouillée à double tour, mais les plans, eux, sont accessibles par quiconque bénéficiant d’une simple connexion Internet.

Il suffit d’une recherche basique dans Google pour atterrir sur un document présent sur le serveur d’un bureau d’études techniques qui a travaillé pour ce centre pénitentiaire. Comment des plans de cette importance peuvent-ils se retrouver en ligne, référencés par un moteur de recherche ? La faille est terriblement simple : le serveur d’un bureau d’études est mal sécurisé et les informations qu’il recèle se retrouvent à la portée de tous.
Dans ce cas précis, ce prestataire de l’administration pénitentiaire est intervenu pour des travaux dans la prison. Pour son usage interne ou pour communiquer des documents de travail à d’autres entreprises intervenant sur le chantier, l’entreprise utilise un serveur NAS (Network Attached Storage), un boîtier permettant de stocker des fichiers en ligne. « Ces matériels proposent généralement deux protocoles : le https , auquel on accède en s’authentifiant par un mot de passe, et le ftp qui peut parfaitement fonctionner sans authentification », explique Arnaud Le Men, associé au sein du cabinet de cyber-sécurité Erium. Dans ce cas, aucun mot de passe n’est requis, la porte est grande ouverte.

Peu sensibilisés à la sécurité informatique.

La plupart des professionnels sont susceptibles de ces négligences. Le ministère de la Justice prévoit toutefois un certain nombre de garde-fous vis-à-vis de ses prestataires. Sollicitée par « Le Moniteur », l’Agence publique pour l’immobilier de la justice (Apij) détaille ses procédures. Parmi les principes de sécurité édictés, l’Apij demande de « prendre les mesures permettant d’éviter toute utilisation détournée ou frauduleuse des fichiers informatiques en cours d’exécution du contrat, via notamment l’utilisation de dispositifs de verrouillage des ordinateurs et de cryptage des données », ce qui n’a visiblement pas été fait. De même, elle demande aux entreprises avec lesquelles elle travaille de « procéder, en fin de contrat, à la destruction de tous les fichiers manuels ou informatisés stockant les informations saisies, sauf instruction contraire de l’agence ». Les travaux en question datent d’il y a plus de cinq ans, certains plans remontent aux années 1990… et personne ne semble s’être soucié de les supprimer.

Plus d’informations sur www.lemoniteur.fr/prison

Vous devez être abonné au moniteur pour lire la suite de ce contenu
PAS ENCORE ABONNÉ
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêt. OK En savoir plus X