Badr Bellaj: «Ce type de faille est classique dans les systèmes de gestion de contenu»

Badr Bellaj
Expert en blockchain
Les fuites de données qui ont frappé la Caisse nationale de sécurité sociale (CNSS) relèvent davantage d’une faille d’architecture que d’un simple incident. Elles placent au centre du débat la question de la gouvernance numérique des services publics.
Pouvez-vous nous décrire le mode opératoire de l’auteur de l’intrusion ?
L’une des théories consiste à dire que le hacktiviste a identifié une faille dans la couche frontend du système, en passant par Damancom. Il a pu extraire une quantité limitée de données, mais suffisante pour démontrer l’existence d’une brèche réelle. L’anomalie provenait d’un défaut non corrigé dans l’API de Damancom. Ce genre de vulnérabilité est fréquent avec les CMS comme Drupal, encore largement utilisés par les agences gouvernementales, malgré leurs fragilités connues en matière de mise à jour et de maintenance. Il se peut que l’anomalie provienne d’une configuration obsolète ou d’un composant mal intégré.
Est-il possible de cerner le profil de l’auteur ?
D’après son mode opératoire, il ne s’agit pas d’une attaque structurée ni d’un profil hautement spécialisé. L’intervenant n’est pas particulièrement expert. La dernière attaque réellement complexe reste celle qui avait ciblé le ministère des Affaires étrangères, il y a quelques années. Ici, tout indique une action isolée, davantage motivée par une logique de représailles numériques. C’est une forme de réplique à un précédent piratage ayant visé un compte Twitter algérien.
Où se situe, selon vous, la principale faille ?
Personne ne peut réellement le savoir mais l’analyse des métadonnées semble indiquer que les fichiers PDF utilisés, ainsi que les frameworks techniques embarqués dans la plateforme, sont obsolètes. Plusieurs composants présentent des vulnérabilités référencées, avec des niveaux de sévérité critiques. Ce type d’exposition, lié à l’utilisation de versions anciennes non patchées, constitue un angle mort récurrent dans la gestion des infrastructures numériques. C’est un problème aussi bien technique qu’organisationnel, qui appelle à une remise à plat des processus de supervision.
Ayoub Ibnoulfassih / Les Inspirations ÉCO