Les sites gouvernementaux ont déclaré avoir des vulnérabilités critiques; NCIIPC et CERT-in Step In: Rapports

Les chercheurs en sécurité ont déclaré avoir trouvé des milliers de vulnérabilités critiques dans des dizaines de services Web gérés par le gouvernement, dont plus de la moitié appartiendraient aux gouvernements des États. La plupart des services avaient plusieurs problèmes, notamment des informations d’identification exposées, des fuites de fichiers sensibles et l’existence de bogues connus. Si elles sont exploitées, ces lacunes pourraient conduire à un accès plus profond au sein du réseau gouvernemental, selon les chercheurs. Les problèmes avaient été signalés au Centre national de protection des infrastructures d’information critiques (NCIIPC) au début du mois. Maintenant, un haut fonctionnaire du National Cyber ​​Security Coordinator (NCSC) a déclaré que des «mesures correctives» avaient été prises.

Les détails des services compromis n’ont pas été rendus publics par mesure de sécurité. Cependant, de nombreux ministères sont rattrape toujours sur les mesures de sécurité, en particulier au niveau de l’État. Mais évidemment, différents départements ont des profils de menaces différents.

Le collectif de chercheurs, qui se fait appeler Sakura Samurai, a contacté le NCIIPC début février. Cependant, les problèmes signalés sont restés non résolus pendant plus de deux semaines, selon un rapport par Hindustan Times.

Le 20 février, John Jackson, membre de Sakura Samurai, a publié un Blog détaillant la violation et comment le programme de divulgation des vulnérabilités du département américain de la défense (DC3 VDP) a dû être impliqué pour aider l’aile indienne de la cybersécurité à en prendre note. Le rapport suggère que le retard dans l’action aurait pu amener de mauvais acteurs à accéder à des informations sensibles et à mener des opérations perturbatrices contre les serveurs du gouvernement.

Les problèmes critiques rencontrés dans les services Web gouvernementaux comprenaient des informations d’identification exposées qui pourraient permettre un accès non autorisé pour les pirates. En dehors de cela, Jackson et son équipe ont écrit qu’ils avaient découvert 35 instances de paires d’informations d’identification (qui peuvent être utilisées pour s’authentifier auprès d’une cible), trois instances de fichiers sensibles, des dizaines de FIR de la police et plus de 13000 instances d’informations identifiables. Des défaillances potentielles ont également été découvertes qui pourraient compromettre des systèmes gouvernementaux extrêmement sensibles. L’équipe Sakura Samurai a testé les systèmes gov.in dans le cadre du Responsible Vulnerability Disclosure Program (RVDP) géré par le NCIIPC. RVDP permet aux développeurs, chercheurs et professionnels de la sécurité de signaler les problèmes de risque potentiel de sécurité de l’information aux entreprises et aux pays.

Jackson a expliqué dans le blog: «Même si le gouvernement indien a mis en place un RVDP, nous ne nous sommes pas sentis à l’aise de divulguer les vulnérabilités tout de suite. Le processus de piratage était loin d’être la situation standard de la recherche sur la sécurité du statu quo. Au total, notre rapport s’est composé d’un rapport massif de 34 pages sur les vulnérabilités. Nous savions que notre intention était bonne, mais nous voulions nous assurer que le gouvernement américain avait des yeux sur la situation.

Sakura Samurai s’est ensuite coordonnée avec le DC3 VDP pour aider à faciliter les conversations initiales. Le 4 février, l’organisme américain a tagué NCIIPC dans un tweet, en disant: “Vérifiez vos e-mails et discutons.”

Le NCSC a ouvert un canal de communication avec Jackson et son équipe dimanche. Le lieutenant-général Rajesh Pant, coordinateur national de la cybersécurité (NCSC), a déclaré au Hindustan Times que les mesures nécessaires avaient été prises. «Des mesures correctives ont été prises par le NCIIPC (National Critical Information Infrastructure Protection Center) et le Cert-IN (Indian Computer Emergency Response Team)… Le NCIIPC ne traite que les problèmes d’infrastructure critique des informations. Dans ce cas, le solde concernait d’autres États et départements qui ont été immédiatement informés par le CERT-In. Il est probable que certaines actions soient en attente de la part des utilisateurs aux niveaux des États que nous vérifions. “


La nouvelle politique de confidentialité de WhatsApp met-elle fin à votre vie privée? Nous en avons discuté sur Orbital, notre podcast technologique hebdomadaire, auquel vous pouvez vous abonner via Podcasts Apple, Podcasts Google, ou RSS, télécharger l’épisode, ou appuyez simplement sur le bouton de lecture ci-dessous.

Recommended For You

Leave a Reply

Your email address will not be published. Required fields are marked *