On n’a en a pas beaucoup parlé, mais il y a quelques semaines s’est produit un incident qui devrait faire réfléchir ceux et ils sont nombreux, qui cherchent à détecter les failles des systèmes informatiques, avant qu’elles ne soient exploitées par des criminels.

De quoi s’agit-il ?

La compagnie allemande ESNC, basée à Grünwald, près de Munich, spécialisée dans la sécurité des TI, avec des suites de sécurité pour SAP, des services de tests de pénétration et de recherche de failles, a détecté une anomalie dans un outil de sécurité, développé par le géant PWC (Price Waterhouse Coopers). Une faille susceptible de permettre à un attaquant d’avoir accès à un système SAP, de manipuler des documents comptables et les résultats financiers des entreprises auditées par PwC, en passant outre les contrôles institués par la compagnie d’audit. Mais aussi d’effectuer des paiements et des transferts financiers non autorisés.

Bref, de mettre à mal tout l’édifice de surveillance édifié par PwC.

Cela se passait, il y a quelques mois et ESNC a informé PwC de l’existence de cette faille, lui donnant un délai de 3 mois, avant de la rendre publique.

Rien que de très normal

Dans cette affaire, ESNC a joué son rôle, celui d’une compagnie de sécurité officiellement accréditée par SAP pour procéder à cette surveillance, travail qu’elle a accompli avec zèle, puisqu’elle a découvert à ce jour, une centaine de failles dans les systèmes SAP, plus ou moins graves. Et c’est bien ce qui lui était demandé.

Mais ESNC ne devait certainement pas s’attendre à la réaction de PwC. Car plutôt que de la remercier de l’avoir alertée sur l’existence de la faille, PwC n’a rien trouvé de mieux que de lui envoyer 3 jours après une « legal threat », une menace juridique, dans laquelle elle exigeait qu’aucune information ne soit publiée sur la faille en question et qu’ENSC n’avait pas qualité pour en faire état publiquement ni d’en informer les utilisateurs.

Menace balayée par ESNC qui a maintenu sa décision de rendre publique les détails de la vulnérabilité au-delà du délai de 3 mois, donné à PwC pour la corriger.

Selon les responsables de PwC, le litige n’est d’ailleurs pas tellement qu’une faille ait été détectée, mais qu’ESNC n’aurait jamais dû la trouver car n’étant pas autorisé à entrer dans les logiciels pour les surveiller…

De plus, PwC a précisé que le code incriminé n’était pas inclus dans la version actuelle du logiciel tel qu’il est installé chez les clients. Circulez, il n’y a rien à voir…

Le roi Ubu est de retour

En fait, cette histoire, qui n’est pas la première du gendre est particulièrement choquante. Car que veut-elle dire ?

Tout simplement que ce qui compte avant tout, c’est la réputation de PwC, au détriment de la fiabilité des données financières de ses clients, qu’il est pourtant censé contrôler et valider.

Tout se passe comme si vous vous aperceviez qu’il manque une roue à votre avion avant l’atterrissage, mais que nous ne devez surtout pas en informer le pilote de peur de nuire à la réputation de la compagnie aérienne qui vous transporte.

Tout cela est triste et stupide. Et le roi Ubu chez à Alfred Jarry est de retour.

Il semble pourtant que dans un autre domaine, les voitures ou les smartphones, par exemple, quand les fabricants détectent un problème, ils n’hésitent pas à rappeler des dizaines de milliers de véhicules et de téléphones, au risque de voir leur côte de popularité s’infléchir pendant quelques temps.

Là c’est l’inverse et Urtunga Arsal, l’un des patrons d’ESNC, n’a pu que constater l’hostilité de PwC, ce qui ne l’a pas empêché de maintenir sa position, car pour lui « it is the right thing to do ».

Pour nous aussi.

Car l’enjeu de cette affaire c’est la confiance que l’on peut avoir dans les fournisseurs de services. Si ceux-ci cachent la vérité à leurs clients sous quelque prétexte que ce soit, c’est tout l’édifice qui s’effondre. Et PwC, malgré sa taille et son influence, n’est pas exempt de cette contrainte.

Déjà dans le passé, un dénommé Serge Humpich avait détecté des failles dans les systèmes de cartes magnétiques, ce dont il avait informé les banques, après avoir effectué un achat, frauduleux il est vrai (!!!) de quelques tickets de métro, pour démontrer la réalité de sa trouvaille.

Que croyez-vous qui se soit passé ?

Serge Humpich a été condamné à 10 mois de prison, peine confirmée en appel.

En fait, on navigue en peine absurdité, qui n’est pas sans rappeler le célèbre 1984 de George Orwell. Rappelez-vous, ce monde dans lequel la seule vérité qui compte est celle de « Big Brother », dont le ministère de la vérité n’a qu’une occupation, celle de la travestir.

On suivra, en tout cas, avec intérêt les évolutions du litige entre PwC et ENSC. Non pas tant pour la faille elle-même, qui n’est qu’une goutte d’eau dans un océan de vulnérabilités, mais sur le principe. Particulièrement révélateur de ce qui se passe derrière le rideau de respectabilité de certaines grandes compagnies.