Une erreur dans un courriel affiche plus de 600 mairies françaises

Une administration diffuse un courriel à plus de 600 mairies… en oubliant de cacher les adresses électroniques. Plus de la moitié des sites n’ont pas de noms de domaines propres et passent par un webmail.

Alors qu’une opération de Bug Bounty privée rassemblant 50 hackers éthiques a été mise en place par le club des RSSI et CoTer Numérique, Yogosha et pilotée par l’ANSSI pour tester les vulnérabilités et failles de sécurité de plusieurs applications utilisées par les collectivités territoriales, ZATAZ rappelle que la faille peut débuter dés la communication d’une adresse électronique.

Il y a quelques jours, un courriel annonçant un concours administratif était communiqué à plusieurs centaines de Mairies françaises. L’un des courriels que ZATAZ a reçu d’un lecteur affichait les adresses électroniques de 606 entités territoriales.

Je vous passe le fait que le diffuseur ne semble pas maitriser l’option CCi (Invisible) de sa boîte mail.

Je me suis penché sur les adresses électroniques des mairies présentes. Autant dire que je n’ai pas été déçu. Sur les 606 adresses, 112 adresses municipales en orange.fr ; 305 en wanadoo.fr ; trois en Free.fr. Plus de la moitié de ces collectivités locales n’ont pas d’adresses électroniques propres. Ce qui tend à dire qu’elles utilisent, très certainement, les webmails affichés avec le niveau d’archivage que l’on peut connaître. D’autres questions peuvent se poser : effacent-elles les mails envoyés ? Stockent-elles en local les messages ou sont-ils sauvegardés dans le webmail utilisé ? Vident-elles la poubelle numériques du webmail ? Utilisent-elles la double authentification ?

Puur finir, Le plus inquiétant à mes yeux : neuf mairies de cette liste utilisent Gmail !

Bug bounty territorial

Le bug bounty cité en ouverture de cet article se terminera en décembre 2022. A ce jour sur une trentaine d’applications les plus utilisées, quinze d’entre elles ont été sélectionnées par le club des RSSI et CoTer Numérique pour être testées. Via une commande de l’UGAP lancée par les communes de Boulogne-Billancourt, Chelles et Toulouse dans le cadre d’une opération pilotée par l’ANSSI, cette mutualisation bénéficiera in fine à l’ensemble des collectivités françaises.

Christophe Vergeron, Directeur des Systèmes d’Information, Mairie de Boulogne-Billancourt, témoigne : « La ville de Boulogne-Billancourt, qui a été l’une des premières villes françaises à avoir recours au Bug Bounty, est très fière de lancer ce projet au niveau national. Il permettra de renforcer le niveau de cybersécurité de l’ensemble des collectivités territoriales, et par là même, celui des citoyens ».

Parmi ces programmes, un logiciel de gestion de files d’attente, une application pour le dépôt des mains courante destinée aux polices municipales ou encore une plateforme web citoyenne déployée dans 1500 collectivités. Cette campagne s’étendra de juin à décembre.

Elle est réalisée avec Capgemini dans le cadre d’un contrat de management de services. Des équipes de proximité sont présentes sur l’ensemble du territoire pour mieux accompagner le suivi avec les éditeurs. Les premiers éditeurs et organisations qui participent à cette démarche (ex. : Arpege, srci, cirilgroup, addulact, ESII…), s’engagent à corriger les failles détectées dans les meilleurs délais.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Anonymous coward Reply

    Bonjour,

    Un certain nombre de données liées au service public sont ouvertes et disponibles.
    C’est la cas des données des mairies qui sont toutes disponibles dans une api : https://api.gouv.fr/documentation/api_etablissements_publics

    Il est donc facile d’obtenir ce type d’information sans effort particulier.

    Difficile ensuite de dire si c’est une bonne ou une mauvaise chose. Ces données se doivent d’être publiques, mais les exposer les rends vulnérables…

  2. Anonymous coward Reply

    PS : par contre ça ne règle en rien le problème d’utilisation du CCI dans les mails, que les gens oublient trop souvent.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.