Photo par Nizar Kerkeni.
Photo par Nizar Kerkeni.

Le mois de janvier a mis la crédibilité du gouvernement Essid à rude épreuve. A l’origine du décès du jeune Yahyaoui à Kasserine et de la vague de mouvements sociaux qui s’en est suivi, un lourd soupçon de trafic des listes des candidats à l’embauche. En pleine cacophonie au sommet de l’Etat, une autre mauvaise nouvelle est venue confirmer les piètres performances de l’équipe de la Kasbah. Le 27 janvier, l’index de perception de la corruption 2015, de l’Organisation non gouvernementale Transparency International, vient confirmer la recrudescence des pratiques frauduleuses. La Tunisie figure dans ce rapport à la 76ème place avec une note de 38 sur 100, alors qu’en 2014, nous avions obtenu une note de 40.
Cela est visiblement de trop, pour notre gouvernement. Dés le 28 janvier 2016, le ministère des Technologies de la communication et de l’économie numérique, réagit en annonçant via sa page Facebook : un site web consacré à la dénonciation des cas de corruption dans l’administration et appelle les citoyens à y déposer leurs requêtes.

Cette information est largement reprise par les différentes rédactions. Il est annoncé partout la mise en ligne d’un site visant à combattre la corruption administrative et répondant à l’adresse http://www.anticorruption-idara.gov.tn/.

Seuls quelques journalistes avertis soulignent qu’il s’agit de relance et non de lancement d’un site. En effet, ce site n’a rien de nouveau. Un petit tour sur Wayback Machine permet vite s’en rendre compte.

La Wayback Machine est une archive numérique du World Wide Web et d’autres informations sur l’Internet créé par l’Internet Archive, un organisme à but non lucratif. Ce service permet aux utilisateurs de voir les versions archivées de pages Web à travers le temps. Plus de 464 billions de page web y sont ainsi archivés. C’est ainsi qu’on peut par exemple consulter des sites disparus, pourvu qu’il ai été balayé par cet outil.
L’archivage des pages du site apparait dés le mois de mai 2012 à l’époque où Mohamed Abbou était aux commande au ministère de la Réforme administrative. Le site n’est donc pas nouveau, et sa récente annonce n’est donc qu’un fake. Pire encore, le dit site prétend prendre les dénonciations des citoyens d’une façon sûre et anonyme, mais qu’en est-il réellement ?

Nous avons soumis le site à Walid Chennoufi, coordinateur en sécurité numérique dans une ONG internationale spécialiste en droits numériques. Son constat est stupéfiant.

Le système de gestion de contenu avec lequel a été élaboré le site est Jomlaa qui est gratuit et open-source. La dernière version stable du CMS (Content Management System) est la version 3.4.8. Pourtant, la version avec laquelle le site a été généré est la version 1.5 abandonnée depuis septembre 2012 par la communauté des développeurs.

Joomla lui-même est en perte de vitesse face à Word Press à cause justement de ses failles sécuritaires non résolues. En d’autres termes, les failles et les méthodes de les exploiter sont connus et disponibles pour tout pirate débutant.

Cerise sur le gâteau, le site n’a pas intégré le standard SSL, qui est le fameux https et qui permet de crypter les échanges sur Internet entre un utilisateur et le site Web consulté. Sans ce dernier, un attaquant malveillant peut facilement intercepter les données en clair envoyées au site et ainsi compromettre l’anonymat des lanceurs d’alertes.

Imaginons un fonctionnaire rapportant à partir de son lieu de travail, un cas de corruption sur ce site, concernant l’administration qui l’emploie. L’administrateur du réseau dans la même administration peut facilement intercepter les données. Il faut savoir qu’il n’existe pas de mécanismes qui protègent les dénonciateurs de fraudes et que le dévoilement de leurs identités peut avoir des répercutions sur leurs vies professionnelles et peut dans certains cas atteindre leurs intégrités physiques. Il faut savoir aussi qu’il est possible aux autorités de connaitre l’identité des utilisateurs du site en collaboration avec les FSI en traçant l’adresse IP si aucun mécanisme d’anonymat n’est utilisé.

Walid est sidéré de voir le ministère des Technologies de la communication et de l’économie numérique annoncer, pour la deuxième fois, quatre ans après sa création, un site d’amateur, ne répondant nullement à l’impératif de sécurité qu’impose la gestion de telles données.

Il existe des solutions matures en terme de sécurité qui ont été développées et maintenues pendant plusieurs années. Elles assurent aussi bien le cryptage des données que l’anonymat des rapporteurs de fraudes via un système de proxy, très prisés par les internautes tunisiens du temps de la dictature numérique de Ben Ali.
Or, est ce que nos autorités sont vraiment prêtes à faire l’impasse sur l’identité des rapporteurs de fraudes afin de combattre la corruption? Le doute est permis au regard de la légèreté de cette fausse annonce ainsi que la mise en sourdine du projet de réforme du décret loi n°41 relatif à l’accès à l’information.