À l'occasion de la Conférence internationale sur le «hacking» du 25 et 26 juin à Paris, 150 pirates «éthiques» professionnels avaient pour mission - moyennant rémunération - d'attaquer les 300 services Internet de La Poste en 24 heures. Marcel Zumbühl, responsable de la sécurité informatique du géant jaune, tire un bilan plutôt positif au terme de l'opération.
Il s'attendait à «bien davantage» de failles de sécurité que les 22 détectées, déclare-t-il dans une interview publiée jeudi sur le site internet de La Poste. «D’ailleurs, les hackers ont dû admettre qu’ils se sont maintes fois cassé les dents sur la sécurité de l'entreprise. Ils ont même été «un peu frustrés».
Deux des failles posent de vrais problèmes
La plupart de ces failles étaient peu importantes, mais une d'elles s'est révélée «sérieuse» et une autre «de niveau critique», confie M. Zumbühl. Un des deux cas concerne le bureau interne des colis trouvés. Les hackers sont parvenus à accéder au système de l’extérieur et à manipuler les données concernant les colis.
La deuxième faille de taille a touché le «webtransfer», une plateforme visant à mettre à disposition pour une tierce personne de gros volumes de données à télécharger. Les hackers ont pu pirater le système, de sorte qu’ils auraient pu bombarder les adresses électroniques des employés d’e-mails de phishing.
Déceler les failles de sécurité au plus tôt
M. Zumbühl souligne l'importance de ces tests. Ils permettent de «déceler les failles suffisamment tôt pour qu'elles ne puissent pas être exploitées». Il estime que «les webservices de La Poste sont sûrs. Quand il s’agit de sécurité, nous devons rester sur nos gardes.»
Pour les deux failles importantes trouvées lors du test à Paris, La Poste a payé respectivement 1500 et 3000 euros aux hackers (quasiment la même somme en francs).
Depuis le lancement de son programme de prévention «Bug Bounty», il y a quatre ans, La Poste a pu détecter 437 failles confirmées (toutes résolues). Parmi elles, 19 se sont révélées «critiques» et 61 «sérieuses». L'entreprise a versé en tout 380'000 euros de primes. La plus importante a atteint 40'000 euros.
(ATS)