Une erreur dans un courriel affiche plus de 600 mairies françaises

Posted On 23 Juin 2022

Une administration diffuse un courriel à plus de 600 mairies… en oubliant de cacher les adresses électroniques. Plus de la moitié des sites n’ont pas de noms de domaines propres et passent par un webmail.

Alors qu’une opération de Bug Bounty privée rassemblant 50 hackers éthiques a été mise en place par le club des RSSI et CoTer Numérique, Yogosha et pilotée par l’ANSSI pour tester les vulnérabilités et failles de sécurité de plusieurs applications utilisées par les collectivités territoriales, ZATAZ rappelle que la faille peut débuter dés la communication d’une adresse électronique.

Il y a quelques jours, un courriel annonçant un concours administratif était communiqué à plusieurs centaines de Mairies françaises. L’un des courriels que ZATAZ a reçu d’un lecteur affichait les adresses électroniques de 606 entités territoriales.

Je vous passe le fait que le diffuseur ne semble pas maitriser l’option CCi (Invisible) de sa boîte mail.

Je me suis penché sur les adresses électroniques des mairies présentes. Autant dire que je n’ai pas été déçu. Sur les 606 adresses, 112 adresses municipales en orange.fr ; 305 en wanadoo.fr ; trois en Free.fr. Plus de la moitié de ces collectivités locales n’ont pas d’adresses électroniques propres. Ce qui tend à dire qu’elles utilisent, très certainement, les webmails affichés avec le niveau d’archivage que l’on peut connaître. D’autres questions peuvent se poser : effacent-elles les mails envoyés ? Stockent-elles en local les messages ou sont-ils sauvegardés dans le webmail utilisé ? Vident-elles la poubelle numériques du webmail ? Utilisent-elles la double authentification ?

Puur finir, Le plus inquiétant à mes yeux : neuf mairies de cette liste utilisent Gmail !

Bug bounty territorial

Le bug bounty cité en ouverture de cet article se terminera en décembre 2022. A ce jour sur une trentaine d’applications les plus utilisées, quinze d’entre elles ont été sélectionnées par le club des RSSI et CoTer Numérique pour être testées. Via une commande de l’UGAP lancée par les communes de Boulogne-Billancourt, Chelles et Toulouse dans le cadre d’une opération pilotée par l’ANSSI, cette mutualisation bénéficiera in fine à l’ensemble des collectivités françaises.

Christophe Vergeron, Directeur des Systèmes d’Information, Mairie de Boulogne-Billancourt, témoigne : « La ville de Boulogne-Billancourt, qui a été l’une des premières villes françaises à avoir recours au Bug Bounty, est très fière de lancer ce projet au niveau national. Il permettra de renforcer le niveau de cybersécurité de l’ensemble des collectivités territoriales, et par là même, celui des citoyens ».

Parmi ces programmes, un logiciel de gestion de files d’attente, une application pour le dépôt des mains courante destinée aux polices municipales ou encore une plateforme web citoyenne déployée dans 1500 collectivités. Cette campagne s’étendra de juin à décembre.

Elle est réalisée avec Capgemini dans le cadre d’un contrat de management de services. Des équipes de proximité sont présentes sur l’ensemble du territoire pour mieux accompagner le suivi avec les éditeurs. Les premiers éditeurs et organisations qui participent à cette démarche (ex. : Arpege, srci, cirilgroup, addulact, ESII…), s’engagent à corriger les failles détectées dans les meilleurs délais.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Donneriez-vous votre carte bancaire par téléphone ?

2 Comments

Anonymous coward 24/06/2022 at 07:07 Reply

Bonjour,

Un certain nombre de données liées au service public sont ouvertes et disponibles.
C’est la cas des données des mairies qui sont toutes disponibles dans une api : https://api.gouv.fr/documentation/api_etablissements_publics

Il est donc facile d’obtenir ce type d’information sans effort particulier.

Difficile ensuite de dire si c’est une bonne ou une mauvaise chose. Ces données se doivent d’être publiques, mais les exposer les rends vulnérables…
Anonymous coward 24/06/2022 at 07:29 Reply

PS : par contre ça ne règle en rien le problème d’utilisation du CCI dans les mails, que les gens oublient trop souvent.