USA: le Homeland Security pas si ‘secure’ que cela …

Le réseau du «US Department of Homeland Security» (DHS) souffrirait de nombreuses lacunes sécuritaires notamment en ce qui concerne les accès distants et la gestion des mots de passe. Un comble pour une organisation dont le rôle est de protéger le territoire des États-Unis…

C’est un audit de sécurité, commandité par l’inspection générale du DHS qui a permis de mettre en exergue les lacunes. Après cinq mois d’audit le couperet tombe.

Certains serveurs dédiés aux accès distants montrent de dangereuses faiblesses, des modems non protégés pourraient permettre à un intrus de s’immiscer sur le réseau, les correctifs de sécurité ne sont pas systématiquement déployés, les mots de passe utilisés sont bien trop simples… Bref, les recommandations de la NSA ne sont pas ou peu suivies. Le test des 2.800 lignes téléphoniques ont révélé la présence de 20 modems dont la présence sur le réseau du DHS n’a pas pu être immédiatement expliquée… La faiblesse des mots de passe a également été démontrée, entre 8 et 37% ont pu être « crackés » avec un simple dictionnaire. Le rapport d’audit se finira sur ces mots: « A cause de ces menaces distantes, il existe un risque accru qu’une personne non autorisée puisse accéder au réseau du DHS et compromette l’intégrité, la confidentialité et la disponibilité d’informations et de ressources sensibles ». Steve Cooper, CIO du DHS reste prudent quant à l’interprétation des résultats de l’audit : « Notre système souffre de vulnérabilités connues et nous attendons que les patchs soient testés avant d’être déployés. De plus, dés que nous aurons terminé notre migration vers Windows 2003, il ne sera plus possible d’utiliser des mots de passes trop simplistes » … (*) pour Vulnerabilite.com