Le site Internet du TGI de Bonneville diffusant des fichiers piratés : Lecture alternative

De prime abord, l'affaire est plutôt cocasse : Le site Internet du Tribunal de Grande Instance de Bonneville aurait été la cible d'attaques informatiques et permettrait le téléchargement de films et logiciels piratés...

On pourrait se dire que les auteurs de ce méfait (doublement répréhensible par la loi) ne manquent pas d'humour et n'ont pas froid aux yeux : Chatouiller les doigts de pieds d'un géant peut être dangereux.

A la lecture des différents articles parus ici et là, je suis allé consulter cet après-midi le fameux site pour me faire une idée et je m'attendais à trouver un site "officiel" tout neuf tout propre. A ma grande surprise, ce n'était pas le cas.

Étrange pour un site appartenant à la sphère gouvernementale et bénéficiant donc de l'attention de personnes très compétentes dans le domaine de la sécurité des systèmes d'information. Bizarre, bizarre.

Pour faire simple, je dirai que nous n'avons pas eu affaire à une intrusion mais plutôt à un concours de circonstances.

En effet, souhaitant visualiser le site du TGI de Bonneville (il était environ 13h30/14h00), je suis arrivé sur une page blanche très dépouillée indiquant un conflit quant à une redirection de site émanant visiblement d'un particulier (Avec le prénom d'un certain Florian)...

Plutôt intéressant car le site accessible à l'URL(http://www.tgi-bonneville.justice.fr) a comme "base" le nom de domaine "justice.fr" qui est ; dixit les bases de l'AFNIC ; sous le contrôle du ministère de la Justice. Cette URL d'accès au site Internet du TGI de Bonneveille est tout à fait légitime (je dois dire que je me suis posé la question...) : Une vérification sur cette page du site du service-public.fr vous confirmera qu'il n'y a pas d'erreur.

Une lecture des echanges sur les forums de Linux.fr (Here) et ubuntu (Here) permet de se faire une meilleure idée de ce qui se serait passé.

En tentant de reconstituer la chronologie de ce qui s'est passé :

1) Le TGI mandate une WebAgency pour monter leur site web

2) La WebAgency héberge ce site sur un serveur mutualisé dédié d'un hébergeur français.

3) Pour X ou Y raisons, le serveur mutualisé et arrêté, le TGI ne met pas à jour sa zone DNS en conséquence. A compter de ce moment, le site du TGI de Bonneville "disparaitrait" du web car les requêtes n'aboutissent plus.

4) Quelques temps après (? X/Y mois ?) une personne tierce (le dénommé "Florian") souscrit à une offre de serveur dédié et se voit allouer l'adresse IP (désormais libre).

5) Ce "Florian" met en ligne sur son serveur des contenus de type "films et logiciels" et semble aller un peu trop rapidement dans la configuration de son serveur web... Nous serions ici environ vers le 26 Décembre. C'est à ce moment que le site web du TGI est de nouveau accessible mais délivre un contenu différent que celui attendu. L'information et reprise ici et là et une intrusion est déclarée...

.... Cette analyse peut être erronée (totalement ou en partie)... Peut-être que nous ne connaitrons jamais la fin réelle de l'histoire sur ce qui s'est réellement passé (ou pas). Si intrusion réelle il y avait eu, celle-ci n'aurait pas pris autant de temps à être détectée par les personnes en charge de la sécurité des sites de l'administration (le CERTA en l'occurrence), que ce soit entre le 26/12 et le 05/01 ou encore suite aux articles publiés dans la presse en ligne.

Ce que je peux en retirer :

1) Toute entité doit vérifier le contenu et l'exactitude du contenu de ses zones DNS, ce préférablement de façon automatisée. Tout changement, désactivation ou inacessibilité d'une machine doit être l'objet d'une investigation.

2) Mettre en ligne des contenus "limites" est à proscrire : Dans ce cas précis, le "Florian" n'a vraiment pas eu de chance car il ne pouvait pas plus mal tomber... Ceci dit, une configuration adhoc de son serveur web lui aurait peut-être permis d'éviter tout ce ramdam.

3) Les informations publiées en ligne sont à prendre avec des pincettes... Celles-ci y comprises... Vous voilà prévenus.

Je profite de ce bulletin pour vous présenter les meilleurs voeux de la part des auteurs du blog sécurité !

MAJ 07/01/09 (13h50): Quelques mises à jour mineures (erreurs de frappe, etc...) et correction du point 2) car il s'agit d'un serveur dédié et non pas mutualisé. Merci à Vince pour la relecture attentive !

MAJ 07/01/09 (15h41): La situation vient de repasser dans la zone "verte". Le site Internet du TGI de Bonneville est de nouveau accessible via son URL "normale".

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens