Le ministère américain de l’énergie : une passoire

Voilà qui tombe mal. Alors que les gouvernements de nombreux pays - et notamment des Etats-Unis - s’inquiètent largement de la sécurité de leurs infrastructures informatiques critiques, l’inspecteur général du ministère américain de l’Energie vient d’indiquer avoir découvert des dizaines de failles dans les SI de plusieurs sites clés, dont certains liés au programme nucléaire civile du pays. Ironisant sur la situation, nos confrères de Foreign Policy évoquent une «bonne nouvelle : le nombre global de vulnérabilités au ministère a reculé de 56 à 38 depuis 2011 du fait de meilleures pratiques de sécurité IT ».

Toutefois, rien moins que 22 des 38 vulnérabilités recensées sont nouvelles. Les autres ? Elles avaient déjà été identifiées l’année précédente et sont donc encore en attente de correction. C’est notamment le cas de vulnérabilités touchant au contrôle des accès. Il y aurait, en la matière, 15 vulnérabilités tant logiques que physiques, sur 6 sites. Sur l’un d’eux, on compterait «plus de 100 comptes [utilisateur] inactifs qui n’ont pas été utilisés depuis plus de 6 mois ». Quant aux postes de travail, 58 % des machines inspectées étaient équipées de logiciels n’ayant pas fait l’objet de l’application de correctifs de vulnérabilité. La situation serait la même sur plusieurs dizaines de serveurs.