Selon une enquête du Zeit Online, plusieurs milliers de liens vers des réunions vidéo discutant d’informations internes à la Bundeswehr, l’armée allemande, étaient accessibles sur Internet jusqu’à vendredi dernier. Beaucoup de sujets étaient pourtant classés confidentiels !
Dès que l’armée a été informée du problème, le bug a été corrigé dans les 24 heures.
Mais, pendant des mois, des intrus ont pu consulter des métadonnées comprenant les horaires, les noms des participants et les sujets des conférences de la Bundeswehr organisées à l’aide du système Cisco Webex.
Les réunions étaient numérotées consécutivement et les URL correspondantes pouvaient apparemment être devinées, révélant des informations sur les réunions passées ou à venir.
D’autres identifiants constitués de noms et prénoms pouvaient également potentiellement être utilisés pour créer des ensembles de données d’adresses e-mail. Les conférences disposaient d’options de connexion téléphonique, ce qui présentait des risques supplémentaires, car elles manquaient de cryptage et d’identification appropriée des participants.
« Informations classifiées », mais accessibles…
Zeit a basé ses recherches sur une découverte des experts en sécurité de l’association Netzbegrünung.
« De nombreux titres de réunions étaient visibles, dont certains étaient explicitement spécifiés « informations classifiées – uniquement pour un usage officiel » dans le titre », souligne l’enquête. « Plus de 6.000 réunions pouvaient être trouvées en ligne », écrit Zeit, dont certaines classifiées, avaient pour objet les missiles de longue portée Taurus réclamés par l’Ukraine ou « le champ de bataille numérique ». En outre, les salles de réunion virtuelles, attribuées aux 248.000 militaires de la Bundeswehr, étaient facilement repérables, grâce à une architecture informatique trop peu complexe, et n’étaient pas protégées par un mot de passe. Zeit online explique avoir trouvé, entre autres, la salle de réunion numérique d’Ingo Gerhartz, le chef de l’armée de l’air allemande.
Netzbegrünung critique également l’utilisation de la plate-forme Webex de Cisco, car il existe des alternatives de vidéoconférence open source avec de meilleurs paramètres de confidentialité par défaut.
« L’échec de Cisco envers ses clients renforce une fois de plus la mauvaise réputation que Cisco a déjà dans les cercles de sécurité informatique. Tous les ingénieurs de Cisco susceptibles d’avoir travaillé sur Webex sont susceptibles d’être conscients du problème architectural de l’énumération des identifiants de réunion. Mais au lieu de résoudre le problème dans son logiciel ou au moins d’avertir clairement les clients du problème, le service marketing de Cisco essaie de vendre un autre produit coûteux et probablement pas très utile avec le mot à la mode « IA » et le nom grandiose Hypershield,” précise le rapport d’enquête.
Les pratiques de sécurité de la Bundeswehr avaient déjà été remises en question en mars lorsque des espions russes avaient enregistré de hauts responsables militaires allemands discutant d’éventuelles livraisons de missiles de croisière Taurus à l’Ukraine.
Toujours selon Zeit online, les services Webex du chancelier Olaf Scholz, du ministère des Finances et du ministère de l’Economie présentent les mêmes défauts et le reporter s’est connecté samedi dernier aux salles de réunion numériques d’Olaf Scholz et de Robert Habeck, le vice-chancelier…
Pierre-Alain Depauw
Cet article vous a plu ? MPI est une association à but non lucratif qui offre un service de réinformation gratuit et qui ne subsiste que par la générosité de ses lecteurs. Merci de votre soutien !
