Une nouvelle affaire pourrait bientôt prendre la dimension d'un véritable scandale à la maison blanche, où il apparaît que nombre de collaborateurs de premier plan de G. W. Bush auraient sciemment utilisé des adresses emails sur des serveurs non officiels pour contourner les politiques d'archivage mise en place.
On parle de plusieurs dizaines de collaborateurs du premier cercle, à commencer par Karl Rove, conseiller particulier du président. Cette pratique durerait depuis au moins 6 ans... Des milliers de mails auraient ainsi pu être effacés, en contradiction complète avec la loi américaine, qui oblige à un archivage intégral et sans limite de durée de tout ce qui entre ou sort de la maison blanche.
Et ces adresses n'étaient pas utilisées (que?) pour conter fleurette aux stagiaires. Les affaires de la nation y transitaient en priorité.
Contrairement à mon titre volontairement provocateur, il ne s'agit pas que de serveurs grand public, les domaines utilisés étant principalement gwb43.com et georgewbush.com (et un peu AOL aussi). Mais il reste que ces domaines étant non officiels, les utilisateurs peuvent en effacer les mails à volonté (ce qu'ils ne se sont pas privé de faire)
Le pire c'est que cette pratique a été mise au jour au cours d'une enquête officielle, et certains comparent déjà ces disparitions de mails à «l'effacement accidentel» des 18 minutes sur les bandes du watergate[1].
D'un point de vue politique, je soupçonne que l'affaire n'ira pas aussi loin, les américains étant probablement vaccinés maintenant des méthodes de leur président, et ça va encore être de la faute de «l'informatique», cette bestiole si docile et si capricieuse à la fois. (Comme c'est ma période proverbes et dictons, je ne peux pas m'empêcher de vous livrer celle-là de Philippe Bouvard: «L'ordinateur est un appareil sophistiqué auquel on fait porter une housse la nuit en cas de poussière et le chapeau durant la journée en cas d'erreur»)
D'un point de vue technique, il est quand même incroyable que cette pratique ait pu être possible! J'ai du mal à imaginer les firewalls de la maison-blanche laisser passer tout et n'importe quoi sans qu'une action volontaire (et donc une décision) ait été prise...
Ah oui parce j'oubliais, l'excuse à 2 balles, c'est que les utilisateurs auraient été «négligents»... et aussi qu'ils auraient mal lu la charte Internet de la maison blanche...
Un seul mot: édifiant... et ce n'est qu'un résumé, lisez le dossier complet, ça vaut le détour.
[1] http://fr.wikipedia.org/wiki/Scandale_du_Watergate#Le_bras_d(...)
Les liens sur /. et le Washington Post:
http://politics.slashdot.org/article.pl?sid=07/04/12/1933215
http://www.washingtonpost.com/wp-dyn/content/blog/2007/04/12(...)
http://www.washingtonpost.com/wp-dyn/content/blog/2007/04/10(...)
Journal whitehouse@hotmail.com ???
13
avr.
2007
# Je comprend mieux...
Posté par Snarky . Évalué à 10.
Je vais leur demander d'arrêter sur MSN à gwbush@hotmâle.com
# No perimeter
Posté par Grumbl . Évalué à 4.
Avec une carte 3G, les firewalls, hein....,
# gmail
Posté par Etre-ange . Évalué à 10.
J'aimerai bien savoir quelles pubs leur envoyait google. "Anarchist cookbook discount on Amazon"
# D'un point de vue technique...
Posté par Raphaël SurcouF (site web personnel) . Évalué à 10.
Si tu penses qu'il suffit d'installer un pare-feu pour empêcher les utilisateurs de flâner au lieu de travailler, tu te trompes lourdement. Tout comme il faut toujours adjoindre un Antivirus en plus du pare-feu sous Windows, il faut ajouter un serveur mandataire obligatoire pour aller naviguer sur Internet.
Et encore faut-il qu'il soit bien configuré pour filtrer les URLs non autorisées (sans même parler que tout ceci doit faire l'objet d'une charte et d'une note d'informations à l'attention des employés, du moins en France) à l'aide de listes blanches ou noires.
Mais tout ceci ne suffit pas ! Car il existe un protocole qu'on ne peut, par essence, bloquer : HTTPS. Toutefois, il est possible de contourner la protection qu'apporte ce protocole (et tous ceux du même genre) mais au prix de l'impossibilité d'utiliser des certificats clients... Des modules pour Apache permettent en effet ce genre de possibilités.
Toutefois, on ne répond pas à la cause du problème, on pallie aux conséquences.
Q : Pourquoi est-ce que l'utilisateur a recours à des outils externes pour travailler ?
R : Parce qu'aucun outil interne, par méconnaissance ou par insatisfaction, ne permet à l'utilisateur de faire son travail "correctement".
Exemple typique : un commercial souhaite envoyer un document au format Word (avec quelques macros dedans). Prenons une structure un peu portée sur la sécurité et vous obtenez un filtrage systématique des macros des documents Word. Si bien que le destinaire, quand il reçoit le document, ne peut pas exécuter les dites macros confectionnées avec amour par l'expéditeur...
Que croyez-vous que cet utilisateur va faire ? Se plaindre auprès des administrateurs ? Bien sûr que non : on parle de structures suffisament importantes pour que les contacts humains soient difficiles et les administrateurs systèmes supposés injoignables. Sans compter la gêne que cela lui occasionne de les déranger pour si peu.
Solution : il va utiliser son compte Yahoo!, GMail, au mépris des règle de confidentialité, sécurité, etc..
Moralité : la sécurité n'est pas qu'une question de technique mais surtout de sensibilisation auprès des utilisateurs. Sinon, ils auront l'impression qu'on ne fait que leur mettre des bâtons dans les roues.
[^] # Re: D'un point de vue technique...
Posté par jjl (site web personnel) . Évalué à 2.
Un autre paramètre important : le temps bureaucratique du service informatique. Dans les grosses sociétés si on a un peu d'outsourcing ou même de facturation interne, la paperasse et le temps de traitement est souvent rédhibitoire.
Exemple réel, je me suis vu transférer des fichiers chez un client le soir avec ma connection adsl perso. En effet l'ouverture d'un accès ftp pour sortir du réseau d'entreprise nécessitait plusieurs jours. Délai qui n'était pas envisageable !
Je parle la d'une société de plusieurs dizaines de milliers d'employés. La gestion de l'infrastucture est fillialisée. Pour ce genre de prestation, il faut remplir une demande, attendre qu'elle soit traitée, généralement redonner des détails, et ré-attendre.
Un autre exemple: obtenir une adresse IP pour une nouvelle machine : 1 semaine minimum.
Alors, oui, mettre en place des mesures de sécurités, sensibiliser les utilisateurs c'est bien. Mais il ne faut pas oublier qu'on est au service du client et que les procédures d'intendance doivent aussi tendre vers cet objectif.
[^] # Re: D'un point de vue technique...
Posté par Raphaël SurcouF (site web personnel) . Évalué à 1.
[1]: « Admin'sys : Gérer son temps » aux éditions Eyrolles : http://www.editions-eyrolles.com/Livre/9782212119572/admin-s(...)
Une critique du livre : http://www.biologeek.com/journal/index.php/critique-du-livre(...)
[^] # Re: D'un point de vue technique...
Posté par benoar . Évalué à 2.
Haha ! Tu sous-estimes la parano des admins et la "bêtise" des utilisateurs.
J'ai déjà vu une université où les connexions HTTPS ne se faisaient qu'avec l'intermédiaire du proxy : il interceptait toutes ces connexions pour se connecter lui même au serveur voulu, et en renvoyant au client toujours le même certificat : le sien (du proxy). Là, gros avertissement sur le browser de l'utilisateur, comme quoi l'identité du serveur a pu être usurpée, mais, réflèxe habituel : on clique sur OK sans rien lire. Et voilà, du man-in-the-middle en règle et tout ça officiellement !
Comme tu le dis si bien : la sécurité, ce n'est vraiment pas qu'une question de technique, mais effectivement de sensibilisation auprès des utilisateurs...
[^] # Re: D'un point de vue technique...
Posté par Raphaël SurcouF (site web personnel) . Évalué à 1.
[^] # Re: D'un point de vue technique...
Posté par inico (site web personnel) . Évalué à 1.
Mais dans ce cas, il suffit de se faire un tunnel ssh ou mettre un proxy sock sur le port tcp/20.
# L'Amérique, l'Amérique (c) Joe Dassin
Posté par Amaury . Évalué à 3.
Je suis certain qu'à Bamako ils sont nombreux au gouvernement à utiliser Hotmail, personne ne trouve cela "édifiant" pour autant.
[^] # Re: L'Amérique, l'Amérique (c) Joe Dassin
Posté par Olivier Guerrier . Évalué à 6.
Dans le respect de cette réglementation, l'informatique de la maison blanche conserve la totalité des mails envoyés ou reçus par son intermédiaire. Que l'administration en place ait (à priori volontairement) contourné ce système pour pouvoir effacer les historiques de mail de collaborateurs clés du chef de l'état, pour oui, c'est édifiant.
[^] # Re: L'Amérique, l'Amérique (c) Joe Dassin
Posté par Sylvain Sauvage . Évalué à 2.
Et la présomption d’innocence, alors ?!
Ah, on parle des néocons. J’ai rien dit…
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.