Stefano Zatti : «L'ESA dispose d'une véritable politique de mots de passe»
L'Agence spatiale européenne (ESA) a souhaité apporter quelques précisions à la suite de notre article sur le piratage d'un de ses serveurs web. Rappelons qu'un pirate, TinKode, a réussi à pénétrer, le 17 avril dernier, un serveur de l'Agence lui ouvrant l'accès à un certain nombre de documents, notamment les listes des utilisateurs avec leur mot de passe, y compris pour l'accès à plusieurs serveurs FTP. Sans nier la véracité de cet exploit, l'ESA souhaite en minimiser, non pas l'importance, mais les conséquences.
« Contrairement à ce laisse entendre l'article, l'ESA dispose d'une véritable politique de mots de passe, nous explique Stefano Zatti, responsable des politiques de sécurité de l'ESA. Mais nous appliquons une politique de sécurité selon les niveaux d'accès. »
Selon le responsable, le premier niveau concerne les accès aux informations publiques que l'Agence diffuse sur son site web. « La plupart des gens viennent de l'extérieur et doivent s'inscrire sur le site pour voir leur accès validé. Ils choisissent eux-mêmes leurs idendifiant et mot de passe mais l'accès n'a rien de crucial. Cela peut donc rester trivial pour eux. » C'est ce serveur que TinKode a réussi à compromettre « probablement en exploitant une faille de sécurité, peut-être par une injection SQL », estime Stefano Zatti.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Le second niveau de sécurité concerne l'accès au réseau interne de l'ESA. Un niveau « soumis à une politique de mot de passe forte avec obligation d'un minimum de huit caractères et mélange de lettres, chiffres et ponctuation », soutient le responsable de la sécurité. Une politique qui, visiblement, fait ses preuves puisque, comme nous le signalions dans l'article précédent, le réseau interne de l'Agence n'a pas été affecté. Quant aux comptes d'accès publiés par TinKode, ils ne sont plus valables. « Nous les avons effacés et prévenus les utilisateurs de renouveler leurs mots de passe. »
Sur le même thème
Voir tous les articles Cybersécurité