Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
12 février 2014 3 12 /02 /février /2014 10:35

Cette affaire fait naître des fantasmes et quelques analyses intéressantes. Les deux articles qui m'ont le plus éclairés sont ceux de maître Eolas et de maître Gérald Sadde. Il est clair que ce sont les déclarations du condamné lors de sa garde à vue qui ont apporté la preuve de sa culpabilité. Les raisonnements avancés me laissent quand même quelques doutes qui ne peuvent pas être levés car nous n'avons pas accès aux pièces.

Ce qui est établi, c'est que l'ANSES a mis en ligne un extranet qui aurait dû être protégé par un accès login/mot de passe mais qui en fait ne l'était pas. Le point qui m'étonne, c'est que tout le monde suppose qu'il s'agit d'une erreur involontaire, or sans accès aux éléments, je peux voir au moins deux autres scénarii.

L'ANSES met en place son extranet ou une mise à jour de son extranet. Malheureusement, une fonctionnalité est défaillante et rentre en conflit avec le système de protection des fichiers. La hiérarchie attend l'extranet à une date butoir et la pression monte entre la maîtrise d'oeuvre et la maîtrise d'ouvrage. Finalement quelqu'un prend la décision partagée ou non, de permettre la lecture des fichiers sans authentification. Une fois le projet livré et la pression retombée, ils se rendent compte qu'il n'existe pas de moyen simple de résoudre le problème. Le point reste en suspend et finit par être oublié.

On peut imaginer un deuxième cas hypothétique similaire: le système d'authentification tombe fréquemment en panne mais les équipes sont incapables de le maintenir. Un haut responsable tape du point sur la table et mène la vie dure au DSI. Celui-ci prend alors la décision de désactiver le mécanisme pour sauver sa place.

Le fait de trouver un mécanisme de sécurité inopérant n'est pas suffisant pour en déduire que l'espace est censé être protégé. Il est fréquent dans les projets informatiques de trouver des morceaux de code qui ne devraient pas être là mais que l'on laisse suite à un arbitrage pour gagner du temps ou de l'argent.

Cela peut vous sembler un peu gros mais pour moi le problème se pose de la façon suivante: ont-ils oublié de tester une fonctionnalité évidente et élémentaire ou ont-ils pris une décision incohérente avec leur politique de sécurité ?

Il est également possible que suite au premier procès, l'ANSES se soit rendu compte que le problème provenait d'une erreur d'arbitrage en interne et ait décidé de ne pas faire appel. On peut alors se demander si une partie du personnel de l'ANSES a été mis en garde à vue et si elles ont été menées avec autant de persévérance que pour Bluetouff.

Partager cet article

Repost 0

commentaires

Présentation

  • : Apories
  • Apories
  • : Essais de réflexion sur notre société actuelle. RSS: http://feeds.feedburner.com/over-blog/qdQl
  • Contact

Recherche

Liens