Des serveurs de courriels de Donald Trump sont hautement vulnérables

L'article original a été publié sur Motherboard.

Ce pourrait être l'une des plus riches ironies de l'histoire des campagnes à la présidence des États-Unis. Un informaticien a découvert des logiciels de serveurs de courriels liés aux hôtels et à d'autres entreprises de Donald Trump complètement dépassés sans aucune mise à jour de sécurité ni précaution pour barrer la route aux hackeurs.

Cette découverte survient alors que la cybersécurité est un enjeu crucial de la campagne, après que des documents de Hillary Clinton ont été rendus publics, et que Trump et ses partisans n'ont cessé de la critiquer pour son utilisation d'un serveur de courriels privé.

« Dans une infrastructure publique, les logiciels et systèmes d'exploitation dépassés représentent un problème, surtout si le groupe est très en vue », nous a dit par courriel Kevin Beaumont, architecte en sécurité informatique qui a révélé les failles des serveurs de Trump. « Comme la cybersécurité est un aussi gros enjeu électoral, j'ai été un peu surpris. »

Plusieurs des serveurs de TrumpOrg.com, un domaine enregistré de The Trump Organization, fonctionnent avec des logiciels désuets selon l'architecte. Par exemple, il donne en exemple le système d'exploitation Windows Server 2003 et IIS 6.0.

« IIS est un serveur web, et c'est particulièrement dangereux de l'utiliser sans mise à jour de sécurité », affirme-t-il.

D'après le site web officiel de Microsoft, il n'y aura plus de mises à jour de sécurité pour aucune des versions de Windows Server 2003. Ceux qui l'utilisent toujours dans leur centre de données sont invités à suivre les étapes de planification et d'exécution d'une stratégie de migration pour protéger leur infrastructure. La compagnie n'offre plus de soutien pour ce système depuis juillet 2015.

« C'est pire que de simplement utiliser un système d'exploitation dépassé qui peut être mis à jour au fur et à mesure que des vulnérabilités sont découvertes », estime le professeur Alan Woodward du département de science informatique de l'Université de Surrey. « La configuration du serveur ne semble pas idéale. »

De plus, Kevin Beaumont affirme que le service de courriels requiert une authentification à un seul facteur. Ce qui n'oblige pas l'utilisateur à utiliser un autre appareil de confiance, comme un téléphone intelligent, pour recevoir un code de sécurité nécessaire à la connexion, rendant ainsi le compte plus sûr. Il est important de noter que l'architecte ne s'est intéressé qu'aux données et informations publiques : il dit n'avoir fait aucune analyse poussée des serveurs. « Évidemment, il y a beaucoup plus à voir, mais je n'ai rien vu de plus que l'information publique accessible. Je n'ai aucun intérêt à accéder à ces systèmes. » D'autres pourraient, par contre. Pendant des mois, un personnage appelé Guccifer 2.0 a déchargé dans l'espace public des documents piratés de groupes comme le Democratic National Committee et a affirmé avoir fourni des courriels à WikiLeaks en vue de leur publication. Dans la dernière semaine, WikiLeaks a publié des flots de courriels du président de la campagne de Hillary Clinton, John Podesta. D'après les données accessibles, les experts croient fermement que Guccifer 2.0 est impliqué dans une opération de piratage russe. Plus tôt ce mois-ci, le gouvernement américain a officiellement accusé la Russie d'avoir accédé à des systèmes informatiques du Parti démocratique et pense qu'elle tente d'interférer avec les élections américaines. En ce qui concerne Trump, c'est loin d'être la première fois que ses propriétés sont vulnérables. En août, le site web d'information The Register a rapporté que sa boutique en ligne ne cryptait pas les données de cartes de crédit de ses clients. Le mois dernier, un chercheur a découvert qu'une myriade d'offres de services de stagiaires étaient accessibles sur le site web de Trump. À quelques reprises ces derniers jours sur Trump.com, vers lequel TrumpOrg.com redirige, un message disait : « Merci de votre visite. En raison d'un fort trafic sur le site, nous vous invitons à revenir plus tard. » La réponse de l'organisation à nos questions : « Nous utilisons le meilleur pare-feu et une technologie anti-vulnérabilité avec surveillance en tout temps. Notre infrastructure est vaste et utilise de multiples plateformes qui sont constamment surveillées et améliorées en appliquant les meilleures pratiques de cybersécurité. »