Souriez, Le Délit se fait pirater!
18 avril 2017 - Image par Vittorio Pessin
Théophile connaît bien les bails («la chose», ndla).

Il est souvent délicat d’aborder le sujet de la sécurité informatique, et ce, pour plusieurs raisons. Au début de l’ère informatique, manipuler un ordinateur relevait du défi; il fallait comprendre de manière très précise ce qui se passait, afin de pouvoir effectuer ce que l’on voulait. Avec le temps les innovations graphiques et pratiques ont permis d’élargir la base d’utilisateurs, tout en réduisant les connaissances nécessaires et abstrayant les processus complexes du regard de l’utilisateur. La conséquence est qu’aujourd’hui ces processus sont perçus comme étant plus complexes par les utilisateurs, rendant plus difficile leur vulgarisation.

La seconde difficulté majeure est d’attiser l’intérêt chez l’auditoire: «À quoi bon me protéger personnellement si je n’ai rien à cacher?» Cette question précise ayant déjà été abordée maintes et maintes fois, je me contenterai de vous renvoyer à l’article d’Hortense Chauvin Parole sous surveillance, adoptons plutôt une perspective globale: que se passe-t-il si les autres ont une sécurité défaillante? Car il est bien beau d’être un citoyen sans peur ni reproche faisant des recherches Google, mais, à l’ère des «fausses nouvelles» et autres épouvantails (straw men) et quand la qualité et l’indépendance des médias est capitale sur fond de contexte politique troublé, qu’adviendrait-il si la sécurité informatique d’un journal fût compromise?

Hacker: accessible ?

Mon but, vous l’aurez compris, sera de tenter de dépasser ces deux difficultés: vous montrer que pour hacker — ici, récupérer des mots de passe sans y être autorisé — il faut surtout être attentif plus que connaisseur; et que les conséquences peuvent être dramatiques, à une échelle perceptible par tout étudiant de McGill.

La première étape est de résumer ce que l’on sait de la cible: bien que les bureaux de la SPD aient une serrure, des personnes vont et viennent la journée et la semaine, laissant parfois la porte ouverte. Aussi, lors des soirées de production, tout le monde y est admis, ce qui représente une bonne occasion pour accéder au matériel informatique.

Une fois sur les lieux, on peut commencer la collecte d’informations sensibles: tout indice qui puisse nous aider. On remarque rapidement que l’un des tableaux du bureau recèle énormément d’information accessible à toute personne dans la salle: le mot de passe de l’imprimante, celui des sessions du Délit sur les ordinateurs, ainsi que l’adresse du serveur sur lequel sont tous les fichiers des deux journaux et le mot de passe pour y accéder.

En somme, toute personne étant rentrée une fois au cours d’une soirée de production pourrait accéder à distance — voire de chez elle — à ce serveur et en supprimer l’entièreté du contenu, ce qui entraînerait probablement l’arrêt de la publication du Délit pendant plusieurs semaines.

De lourdes conséquences

Toutefois, ceci n’est peut-être pas la conséquence la plus grave. Le Délit a un site internet sur lequel sont postés les articles après leur publication papier; aussi, comme la très large majorité des sites Internet, ce site est géré grâce à un logiciel, WordPress, qui permet de prendre facilement en charge la sécurité et la publication des articles. Ce système est en théorie tout à fait sécurisé, sauf lorsque le mot de passe pour accéder au WordPress est lui-même laissé dans un endroit non-sécurisé: c’est comme laisser la clef d’un coffre-fort juste devant celui-ci.

Délit de fuite

Si l’on veut accéder à ce mot de passe, il nous faut nous poser quelques questions: est-ce que l’équipe du Délit accède à WordPress depuis les ordinateurs du bureau? Si oui, est-ce qu’il y a moyen de récupérer ce mot de passe depuis ces ordinateurs? Essayons.

En premier lieu, il arrive que quelqu’un se soit connecté à WordPress  en oubliant de se déconnecter de l’ordinateur, nous donnant alors le champ libre. De plus, si la boîte courriel ou le Facebook de l’un des éditeurs est ouverte, nous pouvons récupérer autant d’informations que possibles sur les contributeurs, voire sur des sources anonymes puis les révéler.

Si ce n’est pas le cas, grâce aux mots de passe trouvés plus haut on peut ouvrir une session sur chaque ordinateur du bureau, puis vérifier pour chaque ordinateur les mots de passe enregistrés par Google Chrome: allons dans «Paramètres», puis «Paramètres avancés», puis «Gérer les mots de passe». Nous obtenons la liste des mots de passe enregistrés, y compris ceux de WordPress, ce qui nous permet ensuite de modifier à volonté le site internet: inclure de nouveaux articles, modifier d’anciens, etc.

De simples mesures  à prendre

Pourtant de simples mesures permettraient de limiter ces riques. Ces failles simples, silencieuses, dangereuses sont la parfaite arme politique: qu’adviendrait-il si de fausses accusations — d’agressions sexuelles par exemple — étaient publiées? Probablement la simple destruction de l’accusé·e ainsi que la crédibilité de la publication. 

 
Sur le même sujet: