Des accusations contre un ancien consultant informatique du FBI qui a réussi à pirater les bases de données les plus sensibles de l'organisation ont été rendues publiques aujourd'hui à Washington. Le consultant, frustré par la pesanteur bureaucratique du FBI avait décidé de s'infiltrer dans le système de l'organisation afin d'accélérer certaines procédures techniques. Après s'être procuré deux logiciels téléchargeables sur n'importe quel site consacré au piratage informatique, Joseph Colon a pu obtenir les mots de passe de nombreux utilisateurs haut placés dans la hiérarchie et décrypter ces derniers pour accéder aux fichiers les plus sensibles du FBI. Il a notamment pu consulter la base de données du programme des témoins protégés, qui offre une nouvelle identité aux délateurs et aux personnes collaborant avec le FBI dont la vie est potntiellement en danger. Il a également accédé aux informations concernant les enquêtes en cours dans le domaine du contre-espionnage. Un porte-parole du FBI a déclaré qu'une fois les brêches constatées, plusieurs milliers d'heures de travail ont été investies afin de sécuriser l'ensemble du réseau.
Cet incident vient parfaitement illustrer à quel point des organisations de sécurité et de renseignement ayant investi plusieurs centaines de millions dans leur équipement informatique ne sont elles-même pas à l'abri d'attaques informatiques, celles-ci n'ayant pas besoin d'adopter une méhodologie trés sophistiquée. C'est à la fois inquiétant, en ce qui concerne la compétence des institutions chargées d'assurer notre sécurité, mais aussi rassurant quand aux dysfonctionnements de la machine de surveillance maximale que certains nous promettent.
06 juillet 2006
S'abonner à :
Publier des commentaires (Atom)
2 commentaires:
S'après ce que j'ai lu du Seattle times le pirate en question était consultant en informatique et on lui avait accrédité la "top-secret clearance". Apparement c'est un officier du FBI qui lui à aussi donné officieusement ses accès, lui permettant d'atteindre une liste complète de logins/pass hashés.
Il faut donc bien se mettre en tête que ce n'étais pas vraiment une attaque informatique qui a permi de récupérer cette liste, simplement une négligence interne aidée par le fait que le consultant était accrédité.
C'est vrai que le consultant (qui avait d'ailleurs déjà eu des problèmes d'accés abusif avec la Marine américaine pour qui il travaillait) était déjà à l'intérieur de la place et qu'il a pu obtenir les pass hashés beaucoup plus facilement, mais les agents qui lui ont donné leur mot de passe (selon sa version des faits) étaient loin d'être assez haut placés dans l'organisation pour lui ouvrir toutes le portes virtuelles, et il a donc du "travailler" assez fort (ou peut-être trop peu au regard de ce à quoi on aurait pu s'attendre).
Publier un commentaire