Cybersécurité: plus de trois mois pour colmater une faille
Monday, November 13, 2023
«Rien n’a été fait…» Le constat, posé le 31 octobre, émane d’un expert en cybersécurité. Mi-juillet, l’homme avait alerté l’OCPM (Office cantonal genevois de la population et des migrations) et la police genevoise d’une faille de sécurité liée au logiciel étatique EasyGov. Trois mois et demi après son intervention et à sa grande surprise, elle n’avait toujours pas été colmatée. Précisons qu’à présent, le «trou» a enfin été rebouché.
Un soupçon de laxisme
La gravité réelle de la faille divise donc l’expert qui l’a détectée et la Confédération. Questionné à ce propos, Stéphane Koch, spécialiste en sécurité de l’information et vice-président d’ImmuniWeb SA, n’a pas d’avis tranché. «Il existe bien sûr d’autres moyens de cloner un site, néanmoins l’utilisation des données volées pourrait augmenter l’efficacité de ce type d’attaque.» Il juge qu’il ne s’agit vraisemblablement pas d’un incident majeur, mais souligne que la pratique en matière de cybersécurité vise à réduire la surface d’attaque au maximum, ce qui n’a pas été le cas ici. Il se montre plus sévère sur deux points: les trois mois et demi nécessaires pour colmater la brèche, qu’il assimile à du «laxisme». Et la transmission de mots de passe par mail. «Un mail n’est pas un élément sécurisé, au contraire d’échanges chiffrés par messagerie, par exemple. D’autant plus étant donné la nature du prestataire et celle du client. Les médecins n’ont ainsi pas le droit de transmettre certaines données sensibles par ce canal, et les banques ne l’utilisent jamais pour les données de comptes.» Read Full Article
SC Media: European reaction to Biden’s Executive Order on AI
Information Age: Top cyber security monitoring tools for your business