Lors des premières séances plénières, le président de l’assemblée constituante, M. Mostapha Ben Jaafer, a décidé que tous les députés recevront les documents administratifs en format électronique via des adresses mails professionnelles. Ceci permettra aux députés qui habitent dans les zones éloignées de la capitale de recevoir une copie des projets de loi sur leur courriel avant leur déplacement à Tunis pour en débattre dans l’hémicycle. Mais à peine ces adresses mails créées, voilà qu’elles sont déjà piratées.
Derrière cet acte : un jeune pirate tunisien vivant à l’étranger. Il a pris contact avec la rédaction de THD pour nous alerter de la faille et nous demander de faire parvenir le message à l’équipe technique du site de l’assemblée.
Boite mail de Sadok Chourou, député Ennahdha dans la constituante
«Réellement on ne peut pas la considérer comme une faille. C’est plutôt une faute d’inattention du webmaster qui n’a pas respecté les règles élémentaires de la sécurité informatique», nous déclare-t-il.
Boite mail de la vice présidente de la constituante et député Ennahdha Mme Meherzeia Labidi
Ce jeune pirate nous a expliqué par la suite la méthode grâce à laquelle il est parvenu à accéder aux mails professionnels des députés. Bien évidemment, THD ne compte pas la dévoiler dans cet article. Mais ce dont on peut vous assurer, c’est que même un enfant de 12 ans peut facilement trouver l’astuce.
Fenêtre d’authentification du compte de la vice présidente
Notre hacker nous a par la suite montré un exemple pratique. En moins d’une minute, nous avons pu accéder aux mails de Mehrezia Laabidi, vice président de l’assemblée, Sadok Chourou, député Ennahdha, et Moncef Marzouki, député CPR et prochain président de la République. Une minute a suffi pour accéder à ces trois comptes et plus encore !
Heureusement que ces comptes viennent d’être créés et qu’ils sont complètement vides. Mais notons tout de même la dangerosité de cette action si un “black-hat” s’y introduit. Il pourra utiliser les adresses mails professionnelles d’une façon frauduleuse.
Pire encore : on a noté que l’interface de login aux mails est totalement insécurisée. Il nous a été impossible de la forcer en https. Il est donc possible de capturer les logins et mots de passe via plusieurs procédés comme la technique de “Man in the middle”. Une méthode qui, certes, a besoin de connaissances relativement avancées en matière de piratage, mais qui est tout de même connue par un bon nombre de nos geeks tunisiens. Rappelons enfin que cette méthode a été déjà utilisée par les sbires de Ben Ali pour hackers les mails des activistes du Web et les dissidents du régime déchu.
«La solution de serveur de mailing que le département Web de l’assemblée a opté s’appelle Zimbra. C’est un outil opensource de gestion collaborative qui, en terme de puissance, dépasse largement le Microsoft Exchange», nous explique le jeune hacker qui a tenu à son anonymat. «Bien qu’il soit plus évolué que ce dernier grâce à des fonctionnalités comme la gestion des fax ou l’envoi des SMS, il reste tout de même dangereux s’il est mal sécurisé. Les failles que j’ai découvertes sont, à mon avis, des erreurs professionnelles très graves. Ce sont, certes, des détails auxquels une personne lambda ne prêtera guère attention, mais c’est tout de même le b.a-Ba de la sécurité informatique que tout apprenti hacker pourra exploiter».
W.N
