La banque Montréalaise a eu une bien mauvaise surprise cette semaine lorsque deux gamins Manitobains encore à l’école secondaire ont exposé le fait que l’accès à au moins un de leur guichet était contrôlé avec le mot de passe par défaut du fabricant écrit dans le manuel d’utilisateur et disponible à qui le veut sur Internet.
Ça va sembler cynique, mais ce n’est pas particulièrement inusité. Je ne veux surtout pas excuser une entreprise (financière!) qui vient de se faire prendre les culottes baissées à ne pas configurer correctement la sécurité de ses appareils, mais c’est un problème tellement commun qu’on ne peut que hocher la tête et soupirer.
Si au moins la vulnérabilité avait été exploitée par des criminels, l’entreprise aurait pu jouer à la victime de méchants pirates, mais quand ce sont des garçons de 14 ans, cette tactique de relation publique n’est plus très efficace.
Je ne suis pas au courant de la réaction du personnel en sécurité de chez BMO, mais on peut spéculer qu’ils voudront au plus tôt auditer l’ensemble de leur parc de guichets, et changer leur mot de passe si on découvre que le problème est répandu. Remarquez que ce n’est pas nécessairement trivial comme démarche – pour diverses raisons, ça peut représenter un défi logistique ou technique pour le personnel concerné. L’accès aux guichets peut-il être reconfiguré à distance, ou est-il nécessaire de faire l’opération localement sur chaque guichet? Le mot de passe (différent pour chaque guichet) doit-il être communiqué à plusieurs départements au sein de l’entreprise? Comment gère-t-on le roulement du personnel ayant connaissance de ces mots de passe – doit-on le changer à chaque fois que quelqu’un démissionne ou prend sa retraite (ou pire, est remercié avec cause)? Cela peut sembler bête comme considérations, mais par expérience je vous dirais qu’elles font souvent toute la différence.
Sans connaître l’ensemble des contrôles de sécurité utilisés par BMO, rien ne nous permet non plus de savoir s’il existait un risque réel pour l’intégrité des guichets. Si les mots de passe par défaut ne sont pas changés (parce que les processus pour le faire coûteraient trop cher par exemple), peut-être que d’autres contrôles compensatoires sont en place pour mitiger ce manque, contrôles qui n’ont pas été dévoilés ici. Ça peut sembler tordu, mais je vous jure que cela arrive bien plus souvent qu’on le pense.
Finalement, un petit conseil général à ceux et celles qui voudraient s’inspirer des exploits de ces adolescents en testant le mot de passe de d’autres guichets de BMO, ou ceux d’autres banques: c’est une très mauvaise idée.
BMO a eu l’intelligence de ne pas entreprendre des démarches judiciaires contre des enfants – il y a une limite à avoir l’air fou sur la place publique – mais ce n’est pas du tout une réaction typique: beaucoup d’autres pirates en herbe se sont retrouvés du mauvais côté de la loi après avoir découvert et rapporté des vulnérabilités sur les systèmes corporatifs d’entreprises dont ils sont client. Même pour un professionnel, communiquer un tel problème sans avoir établi au préalable une entente avec le propriétaire d’un système est une opération délicate. La découverte et l’exploitation, même partielle, d’une vulnérabilité peuvent représenter un risque pour la disponibilité des systèmes concernés sans qu’on puisse s’en rendre compte de l’externe – BMO aurait-elle réagi différemment si les deux jeunes, par mégarde ou ignorance, avaient effectué une opération irréversible ou coûteuse sur un appareil de la banque? De plus, les entreprises peuvent douter des motivations réelles derrière le travail des amateurs – est-ce une tentative détournée de les faire chanter? – alors que les professionnels ont une réputation ou un code d’éthique pour les soutenir.