SecurityVibes était ce midi en direct à l’antenne de RTL, dans le cadre de l’émission « Les auditeurs ont la parole », consacrée à la sécurité sur Internet. Vous pourrez écouter le débat dans son intégralité sur le site de la radio.

Quelques précisions qui n’ont pas trouvé leur place dans une émission grand public :

L’équipe sécurité de la SNCF avait donné l’alerte face à ce risque dès 2008. Mais, comme dans bien des entreprises, les métiers ne sont pas la sécurité : les équipes de production touchent leur bonus si le site est performant, s’il offre les fonctionnalités métier demandées et s’il est livré à temps. Pas s’il est sûr !

Ce type d’attaque, particulièrement simple, est connu et dénoncé depuis le début des années 2000, notamment par l’équipe de Kitetoa.com , qui a connu de nombreuses démêlées judiciaires après avoir découvert, puis exposé, des failles de ce type (avec Tati, pour ne citer que l’incident le plus connu). Le vrai problème ici est qu’une telle bourde arrive sur le premier site d’e-commerce de France. Il suffit pourtant de quelques jours d’audits par un cabinet spécialisé (moins de 5000 € HT) pour régler ce type de problèmes.

La question de la responsabilité de la faille est intéressante à poser : qui a développé le site de voyages-sncf.com ? Si des sous-traitants sont intervenus, est-ce l’un deux qui est responsable de la portion de code incriminée ? La SNCF a-t-elle appliqué des contrats spécifiques obligeant les prestataires à appliquer des techniques de développement sécurisées, à contrôler leur code face au TOP 25 des vulnérabilités applicatives les plus connues ? Probablement pas…

Espérons que cette affaire très médiatisée poussera certains patrons à s’intéresser d’un peu plus près à la sécurité de leur site web, et budgéter quelques jours d’audit !

Plus d’information :

Ecouter l’émission sur le site de RTL

Télécharger l’émission (MP3)