Cela fait quelque temps que les citoyens et la société civile se mobilisent pour exiger la transparence. La dite transparence étant nécessaire dans un État de droit, que ce soit pour les travaux parlementaires, les budgets des ministères, mais aussi pour l’attribution de marchés aux prestataires du gouvernement ou de la Présidence de la République par exemple.
Vu l’opacité ambiante, nous sommes en droit de nous demander si les autorités n’ont pas failli à leur éventuel devoir d’informer le citoyen sur les modalités d’attribution de certains marchés. Par ailleurs, compte tenu de la qualité de ces prestations, la question devient plus qu’urgente, d’autant plus dans des domaines sensibles. Cela fait quelque temps que je m’interroge, et une rencontre avec certains responsables dans un random ministère m’a convaincu que notre administration souffre aparemment d’un manque de rigueur et d’un certain amateurisme.
D’ailleurs, une discussion sur le même sujet était en cours sur le groupe OpenGovTN avec une personne, elle même représentant une agence web et se targuant d’être « partenaire de confiance de l’administration » (au cours d’une conférence donnée en avril 2012).
La transparence d’un processus d’attribution d’un marché est cruciale. De par ses nombreux critères (cahier des charges, délais, garanties etc..), un appel d’offres clair peut clairement contribuer à lister/pointer tous les risques, les éventuelles défaillances possibles, et les limiter. Ainsi, toute administration sérieuse ne peut commander « un site internet » sans penser aux risques d’attaques et de vulnérabilité (et mettre en danger les infos personnelles des personnes inscrites sur ces sites)… Il en va de sa crédibilité.
Ca c’est pour le contexte.
Au lancement de www.carthage.tn, j’ai été curieux de découvrir le travail effectué par les équipes web des autorités tunisiennes. Ce site était la vitrine de Ben Ali dans le temps et avait été mis à rude épreuve courant janvier 2011 (ainsi que d’autres sites symboles de la dictature benaliste)… La nouvelle mouture se devait donc d’être sacrément moins vulnérable.
En fait, pas tant que ça.
Une vérification très rapide et pas du tout poussée a permis la découverte d’une négligence inquiétante! Le ou les responsables avaient oublié d’effacer (ou à la limite de vérifier les permissions du fichier) install.php. Ce qui aurait permis de repeindre carthage.tn en mauve, par exemple :-]
Sauf que ce n’est pas la seule, juste la plus parlante. Je ne détaille pas les différentes vérifications qui amènent à constater tout cela et ne me permettrais pas de lister les innombrables vulnérabilités toujours existantes : je n’ai toujours pas de réponse au message laissé au webmaster, via le formulaire de contact du site. On se contentera d’un petit screenshot pour le lulz, vu que ça a été corrigé depuis.
Le site www.carthage.tn avant correction
La rigueur dans le processus est primordiale
Il ne s’agit pas de pointer du doigt ou de troller le ou les développeurs du site mais plutôt les personnes chargées de les encadrer, voire le service de communication de la Présidence. Un site internet c’est une vitrine, un outil de communication qui s’attache à promouvoir une image, à véhiculer des choses que le print ne permet pas par exemple.
Concevoir un site nécessite des compétences en communication publique (pour ce cas), des compétences techniques et organisationnelles, mais surtout suivre un process rigoureux: élaborer un cahier des charges, lancer une beta, la faire tester par les services concernés, etc. (tout ça lors d’un appel d’offre par ex clair, exigeant et transparent) Quid de tout ça?… Amateurisme? Négligence? Allez savoir…
Pour finir, je tiens à préciser que je ne me suis penché sur le site carthage.tn que de façon fortuite. Aucune tentative de piratage n’a été menée, bien au contraire, tout a été fait pour alerter les personnes concernées (et le délai de réponse/action est anormalement lent). La démarche est au contraire de sensibiliser (sur d’éventuelles failles) les autorités et d’attirer leur attention sur la nécessité d’adopter de strictes procédures pour assurer la sécurité informatique.
NB : Le compère @BalhaTN donnera d’autres détails, notamment comment il a essayé d’alerter les personnes concernées. (edit : la suite ici)
Edit 17h33 10/09/2012 :
