Jean Lassalle n’est pas vraiment encore au point du point de vue de la sécurité informatique. Le député-maire pyrénéen possède deux sites Internet dédiés à sa longue marche politicienne : jeanlassalle2017.fr et jeanlassalle.fr. Les deux espaces tournent sous le système de gestion de contenu WordPress.
Si la version déployée sur jeanlassalle2017.fr est bien à jour, ce n’est pas le cas pour jeanlassalle.fr, qui continue de tourner sous une vieille version (4.6.4 alors que celle du moment est la version 4.7.3). Et qui dit vieille version, dit faille potentielle. A noter que les deux espaces souffrent aussi de plusieurs applications non mises à jour. Des pirates pourraient s’y pencher et perturber les deux portails, en les bloquant par exemple.
Autres faits gênants : les deux sites disposent de répertoires ouverts à tous et qui, visiblement, servent aussi de lieux de stockage en ligne. On y trouve, pêle-mêle, des courriers envoyés aux élus pour collecter les précieux parrainages, des numéros de smartphone, des « études » de signatures de Jean Lassalle (parfait pour une usurpation numérique), des listes d’utilisateurs, etc. On peut également voir des logins administrateurs. Et comme le site ne limite pas le nombre de tentatives d’authentification, rien n’empêche ensuite un pirate d’y brancher un robot pour trouver le mot de passe. On constate, enfin, que l’un des membres de l’équipe de campagne reçoit ses courriels sur le webmail américain Yahoo.
Au final, on constate que les sites de Jean Lassalle ont été créés de façon négligente d’un point de vue de la sécurité. Un administrateur de WordPress doit empêcher la lecture de l’ensemble de ses répertoires. Pour le cas de Jean Lassalle, il faut notamment bloquer la lecture par une personne non autorisée du dossier « uploads ». Et dans ce dossier, comme dans l’ensemble d’un serveur dédié à un blog, il ne faut rien sauvegarder de sensible. Un blog n’est pas un espace de stockage cloud ! En ce qui concerne l’accès à l’administration, il est judicieux d’activer la double authentification, car elle fera fuir le premier pirate qui passe. Pour les plus pointilleux, un fichier .htaccess dans le dossier « admin » sera parfait.
Nous avons contacté l’équipe de campagne de Jean Lassalle le 2 avril dernier. Mais nous n’avons reçu aucune réponse de sa part.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
