mercredi 23 septembre 2009 / 14 octobre 2009, par
On apprend, par informaticien.be, que la Région Wallonne s’apprête à interdire l’utilisation de Firefox [1], au profit d’Internet Explorer (sic), pour raisons de sécurité (re-sic).
Pour en avoir le cœur net, on se fend d’une visite au site de ladite Région. On y est cordialement invité à s’inscrire à l’espace personnel [2].
On s’inscrit donc, il en résulte un écran totalement blanc. On se dit que l’inscription a été enregistrée, et on tente de se connecter. Réponse, en rouge : “Mauvais nom d’utilisateur ou mot de passe incorrect”. Qu’à cela ne tienne, on a peut-être commis une faute de frappe [3]. On fait une nouvelle tentative d’inscription, qui se solde par un nouveau message d’erreur : “Compte existant”, qui semble indiquer qu’on avait bien saisi son identifiant et qu’il a bien été enregistré.
Heureusement, le portail wallon propose le classique “Mot de passe oublié ?” pour dépanner les distraits. On se précipite alors vers cette sortie de secours, et là, paf : “Nom d’utilisateur invalide”. Ici, ça ne peut plus être une faute de frappe, puisqu’on a fait un copier/coller.
Cette fois encore, il y a apparemment une issue : en haut de l’écran il y a un hyperlien “Contacts” qui offre la possibilité de s’adresser au webmestre, non par un formulaire fastidieux, mais directement, par un courriel normal avec une vraie adresse, et même deux (edimestre wallonie.be, th.questions mrw.wallonie.be).
On écrit donc à ce cher webmestre, en se disant que lui au moins va nous tirer d’affaire. Eh bien non : par retour du courrier, on est avisé que :
This message was created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed:
th.questions@mrw.wallonie.be
SMTP error from remote mail server after RCPT TO:<th.questions@mrw.wallonie.be>:
host smtp68.wallonie.be [157.164.187.68]: 550 Rejected - see http://courriel.wallonie.be - Faked gmail.com.
edimestre@wallonie.be
SMTP error from remote mail server after RCPT TO:<edimestre@wallonie.be>:
host smtp68.wallonie.be [157.164.187.68]: 550 Rejected - see http://courriel.wallonie.be - Faked gmail.com.Explication : on est un garçon prudent qui prend la précaution d’utiliser un service SMTP sécurisé et reconnu (outbound.mailhop.org), ce qui est interprété par le service destinataire comme une tentative de falsification…
Alors on renvoie le message via le serveur SMTP de Gougueule, et on attend la suite.
(…)
Il y a une suite. En consultant la page d’aide, on découvre que l’espace personnel est couplé avec le site des formulaires en ligne (même identifiant, même mot de passe). On s’y rend donc, pour y apprendre que le compte a bien été créé, mais qu’il n’a pas encore été validé par son titulaire (un lien à cliquer pour confirmer). On confirme donc, et voilà l’affaire faite.
Cette confirmation n’ayant (sauf erreur) pas été demandée de manière explicite lors de la procédure d’inscription via le portail principal, combien de visiteurs auront parcouru ce long cheminement pour découvrir comment terminer effectivement leur inscription ?
(…)
Il y a une suite aussi à la consternante affaire de l’interdiction des navigateurs modernes : “Concrètement, les applications du SPW seront testées et éventuellement adaptées pour pouvoir fonctionner de manière optimale et sécurisée avec ce ou ces nouveaux navigateurs. En attendant, tout autre navigateur qu’Internet Explorer 6 n’est pas considéré comme standard et n’est donc pas supporté. Qui plus est, la Politique de Sécurité du Système d’Information du SPW, approuvée par le Gouvernement wallon le 6 décembre 2007, spécifie explicitement que seuls les logiciels standards reconnus (dont Internet Explorer fait partie) « peuvent être utilisés par les agents du SPW afin de garantir la confidentialité, l’intégrité et la disponibilité du Système d’information ». En d’autres termes, l’usage d’un logiciel comme Firefox ou d’autres logiciels non standards est contraire à notre politique de sécurité et est, dès lors, interdit.” (Rudy Demotte, Ministre-Président)
Ce n’est pas nouveau : de nombreuses entreprises et organisations, victimes de fournisseurs trop exclusifs et/ou de compétences internes ne se recyclant que trop rarement, se retrouvent prisonnières de technologies obsolètes qui compromettent leur aptitude à évoluer. L’exemple de l’administration wallonne est un cas d’école poussé jusqu’à l’absurde : au nom de la standardisation et de la sécurité, on maintient en exploitation des logiciels périmés, non conformes et dangereux, dont l’éditeur lui-même n’assure plus le support. Dans le cas d’un système d’information fonctionnant en circuit fermé, cette rigidité serait à la limite tenable. Mais où existent encore de tels systèmes ?
[1] Texte du communiqué : “Une faille de sécurité a été détectée pour l’application de navigation internet Mozilla Firefox. Il est rappelé que seul le navigateur internet explorer est autorisé comme outil d’accès aux pages internet et intranet. Nous demandons à tous les utilisateurs de Mozilla Firefox de procéder à la désinstallation de cette application avant le 27 septembre 2009. Dès le 28 septembre 2009, l’exécution de Mozilla Firefox deviendra impossible.” On me souffle toutefois dans l’oreillette que la vraie raison de cette fatwa d’un autre âge serait la paresse : Firefox est très souvent mis à jour (généralement pour corriger rapidement une faille de sécurité), alors que les failles de MSIE demeurent béantes beaucoup plus longtemps, et cela fatiguerait les responsables informatiques de la Région Wallonne. Pure médisance sûrement, puisque Firefox propose une option de mise à jour automatique et silencieuse qui libère l’administrateur de la corvée répétitive de l’installation des mises à jour sur chaque poste de travail ; on ne nous fera pas croire que les pros de la RW l’ignorent. Ils ne peuvent pas non plus ignorer qu’il est facile de modifier le user agent et déguiser Firefox en MSIE.
[2] “Pour quels avantages ? Accéder directement aux formulaires de la Région Wallonne, naviguer sur le site avec plus d’interactivités. Enregistrer une série de dossiers personnalisés. Ceux-ci seront donc à votre disposition lors de vos prochaines visites sur le site, une fois que vous serez identifié. Proposer vos propres actualités ou événements. Le formulaire sera pré-rempli avec vos données.”
[3] Ce n’est en l’occurrence pas le cas, parce qu’on a utilisé un générateur de mots de passe et une fonction de sauvegarde des mots de passe, mais passons.
RSS site
