Prestations informatiques, pourquoi les fins de contrats peuvent être (très) critiques

Prestations informatiques, pourquoi les fins de contrats peuvent être (très) critiques

“S’inquiéter des menaces persistantes avancées (ndlr. les APT) c’est comme, d’une certaine façon, craindre d’attraper un rhume lorsqu’on travaille dans une usine produisant de l’anthrax”, comparait dans nos colonnes, il y a huit ans, l’un des cadres dirigeants de Verizon Communications. Une métaphore censée illustrer le risque important, mais parfois trop négligé, des menaces internes. Un problème bien souvent caché sous le tapis et moins médiatisé que les découvertes de vulnérabilités.

Une affaire jugée ce lundi 14 juin par le tribunal judiciaire de Paris va à ce titre fortement intéresser les responsables de la sécurité informatique. En chambre correctionnelle, les magistrats ont condamné à six mois de prison avec sursis – le parquet avait demandé une peine d’un an avec sursis – un ancien prestataire de la société Sarp, une filiale de Veolia spécialisée dans l’assainissement et la maintenance industrielle.

Cet ingénieur en informatique, proche de la quarantaine, était poursuivi pour piratage informatique. Il était suspecté d’accès, de maintien, de modification et d’entrave d’un système de traitement automatisé de données. Autant de charges contestées à l’audience par le prévenu, sans convaincre toutefois le tribunal. Que s’est-il donc passé chez Sarp, une société comptant plus de 800 salariés et réalisant environ 450 millions d’euros de chiffre d’affaires ?

publicité

“Jason redémarrait en permanence, le système devenait fou”

Le 9 novembre 2020, l’application maison, Jason, rencontre de sérieux problèmes. Ses serveurs sont sujets à de très importants ralentissements. Résultat, l’activité de l’entreprise est en panne: la consultation des factures ou l’approvisionnement des camions est impossible. Avec des conséquences concrètes exposées par Me Grégoire Etrillard, l’avocat de Sarp. Le bug bloque par exemple l’envoi d’équipes vers des clients dont les fosses septiques débordent. “Jason redémarrait en permanence, le système devenait fou”, précise l’avocat. Finalement, le 16 novembre, la source du problème est trouvée. Il s’agit d’une mauvaise configuration d’un fichier, Machine.config.

Un problème crucial de paramétrage qui ne s’est pas produit tout seul. Selon les investigations policières, menées par les enquêteurs de la brigade d’enquêtes sur les fraudes aux technologies de l’information (Befti), il y a eu une intervention volontaire sur le fichier pour réduire les ressources allouées. Deux valeurs ont été ainsi changées, passant de 100 et 40 à 2, comme si les paramètres avaient été bridés pour simuler un grand nombre d’utilisateurs.

Les enquêteurs vont rapidement suivre la piste interne. Car une chronologie les interroge. Les ennuis de l’entreprise débutent la veille du départ d’un de leurs responsables informatique, un prestataire externe présent chez Sarp depuis huit ans. Les enquêteurs suspectent cet informaticien très investi – il a même été membre du comité de pilotage de l’entreprise – d’avoir bricolé la panne pour prouver ensuite à son ancien employeur qu’il était indispensable. “C’était une forme de vengeance, analyse Me Etrillard. En rendant inopérant le logiciel, il serait ensuite apparu comme un sauveur. C’était redoutablement bien fait.”

“Il me restait 10% du travail à finir, je devais être sûr, pour faire une analyse fiable, qu’il s’agissait bien de cela”

Développée en interne, la gestion de l’application Jason allait en effet être totalement externalisée. Une décision qui avait entraîné la fin des contrats avec les prestataires. Dépités, ils avaient pour la plupart annoncé leur départ à l’été. “Il n’y a pas eu de bras de fer, cela faisait deux ans que je disais que je voulais arrêter”, rétorque l’informaticien démissionnaire, désormais en contrat avec plusieurs sociétés.

Selon les investigations, le fichier de configuration de Jason a été modifié le dimanche 8 novembre en utilisant le compte administrateur, depuis le poste de l’informaticien, mais via un accès à distance avec Anydesk. Un traçage permis grâce à un enregistrement des serveurs ignoré de l’informaticien, assure la partie civile. “Le lundi, il y a de nouvelles connexions, observe la substitut du procureur Pauline Fabre. Le prévenu dit que ce n’est pas lui mais pourtant, il y a une consultation de sa boîte mail. Et en garde à vue, c’est quand on demande s’il a Anydesk qu’il arrête de répondre.”

Autre élément à charge contre le prévenu: le 11 novembre, soit le lendemain de son dernier jour de prestation, il est appelé à la rescousse par son ancien client. L’informaticien consulte les serveurs, dont le fichier de configuration, prépare deux brouillons de mails donnant de premières explications et s’inquiétant de l’absence de cadre contractuel. Mais sans les envoyer. “Il me restait 10% du travail à finir, je devais être sûr, pour faire une analyse fiable, qu’il s’agissait bien de cela”, explique-t-il à l’audience.

L’ingénieur rappellera également qu’une trentaine de personnes avaient accès au compte administrateur. Et que son couple identifiant mot de passe était enregistré en clair sur le serveur. “Son poste était en accès libre sur place, ajoute son avocate, Me Elif Bilici. Un expert tel que lui s’y serait pris autrement.” Une thèse qui n’a toutefois pas convaincu les magistrats.

Leave a Reply

Your email address will not be published. Required fields are marked *