Divulgation de mot de passe

Monstros Velu · 18/07/2006, 12h54

Avant ce à quoi certains risquent de s'attendre : non, je ne divulgue pas de mot de passe dans ce post. Je suis en train d'installer une application, alors pour passer le temps, je voulais juste raconter ce qui m'arrivait, voir si c'était arrivé à d'autre, et ce qu'il est possible de faire.

Je travaille pour une S.S.I.I. qui a pour client une grande multinationale, qui a demandé la modification d'un site sensé être intranet. Un petit projet, mais utilisé à l'échelle internationnale, commandé par une branche d'un pays de l'est, utilisant des serveurs en grande bretagne, etc... Jusque la, tout va bien.

Sauf qu'en lisant le code de l'application actuelle qui m'a été fournit, je me suis rendu compte qu'ils m'avaient donné les mots de passe administrateur de leurs serveurs. Je peux passer des commandes, modifier les données financières, etc...

Je trouve ça ahurissant de laisser à une entreprise externe l'accès à des données internes aussi importantes... Je pense que c'est une faute grave de la personne qui m'a donné les codes. Je rajoute que l'administrateur n'est pas en reste, car il doit falloir 20 minutes pour casser le mot de passe tellement il est simple...

Voilà, je vous laisse réagir :o)

edit : à la réflexion, je ne suis peut-être pas sur le bon forum pour cette discussion... Si quelqu'un veut bien le placer à l'endroit qui convient, j'en serai ravi 8o)

Zipyz · 18/07/2006, 12h59

Je pense que c'est quelquechose d'assez courant, ma société travaille également pour une multinationale et 90% des mots de passe d'accès aux serveurs de production et d'accès admin aux application sont du type login=mot de passe et les login sont on ne peut plus simples à trouver. C'est une grande défaillance de la sécurité mais malheureusement on ne peut pas faire grand chose ...

RV80 · 19/07/2006, 09h59

Oui, c'est defois desesperant de voir des politiques de sécurité aussi ... inexistante ...
Mais bon s'ils ne prennent pas conscience de ça soit un jour ils seront espionner ou leurs données seront effacés ...
Ou beaucoup plus drôle : des petits malins entrposeront leurs DivX sur leurs serveurs

C'est juste un manque d'information des personnes, il suffit de regarder je suis sur (et même persuadé) que certains administrateurs ont des pass du style root/root mais c'est pas pour autant qu'ils laisseraient leurs voitures toutes la nuits dehors avec les portes grandes ouvertes et les clefs sur le contact

. Pourtant au niveau, je suis fou je regarde si j'ai de la chance c'est le même niveau !

Eusebius · 19/07/2006, 10h07

Citation:

Envoyé par RV80

C'est juste un manque d'information des personnes

Non, souvent c'est juste un problème pratique, un problème de "flemme" si on peut dire. Le mec qui administre une douzaine de machines, il s'embête pas à mettre des mots de passes différent à chaque fois. Mais ça coincide toujours avec une absence de politique de sécurité générale (choix d'un système d'authentification centralisé par exemple), qui nécessite souvent une implication forte de la hiérarchie (problèmes non-informatiques, mais omniprésents et que tout un chacun bossant en entreprise connaît bien).

Monstros Velu · 19/07/2006, 12h26

Il y a un système d'authentification centralisé, basée sur LDAP. Un système de validation des dépenses, pour pas que l'argent sorte n'importe comment, de la tracabilité sur les produits, etc...

Mais là, avec ces mots de passe, j'ai accès à leur coeur de métier et à leurs finances avec le compte admin... Je trouve ça assez énorme.

JackBeauregard · 19/07/2006, 13h28

Tu peux pas te servir des informations pour ta carrière ?

RV80 · 19/07/2006, 13h54

Citation:

Tu peux pas te servir des informations pour ta carrière ?

Oula il faut savoir quelque chose, même si tu as les pass d'accès, accèder à des données auquelles tu n'as pas le droit est assimilé à du piratage, de même se servir de ses informations pour une carrière pro. pourrait paraitre comme un abus de confiance ou de l'espionnage industriel ...
C'est d'ailleurs pour cela que Monstros Velu est un peu choqué d'avoir accès à toutes ces informations, enfin du moins je penses

Monstros Velu · 19/07/2006, 14h18

exactement RV80 :o)

J'ajoute que mon père travaille à la sécurité des réseaux et du S.I. dans un grand groupe de télécommunication, donc j'ai peut-être été un peu trop formaté :o)

JackBeauregard · 19/07/2006, 17h35

Citation:

Envoyé par RV80

Oula il faut savoir quelque chose, même si tu as les pass d'accès, accèder à des données auquelles tu n'as pas le droit est assimilé à du piratage, de même se servir de ses informations pour une carrière pro. pourrait paraitre comme un abus de confiance ou de l'espionnage industriel ...
C'est d'ailleurs pour cela que Monstros Velu est un peu choqué d'avoir accès à toutes ces informations, enfin du moins je penses

Si ça se trouve c'est même un piège pour vérifier si on peut lui faire confiance. C'est des vrais fausses informations. Comme les pièces qui trainent sur le buffet en face de la baby sitters.

Méfiance

Médinoc · 21/07/2006, 09h21

Chez nous, je ne sais pas pour les serveurs, mais pour tous les postes client, l'administrateur local a le même MDP que tout le monde dans la boîte connait...

Mais il me semble bien que les serveurs, eux, sont protégés, et qu'il faut même un bagde pour entrer dans la salle où ils se trouvent.

_solo · 21/07/2006, 14h16

pour avoir une connexion secure des serveurs moi j'utilise une audiosmartcard il n'y a rien a retenir et en cas de pertes tous les mots de passe font plus de 15 characteres ou cas ou une tentative de cassage de mot de passe par des tables rainbows se ferait.

Sinon pour les donnees financieres y a pas moyen de les utiliser si la boite est cote en bourse .

Eusebius · 21/07/2006, 14h18

Citation:

Envoyé par _solo

pour avoir une connexion secure des serveurs moi j'utilise une audiosmartcard il n'y a rien a retenir et en cas de pertes tous les mots de passe font plus de 15 characteres ou cas ou une tentative de cassage de mot de passe par des tables rainbows se ferait.

Sinon pour les donnees financieres y a pas moyen de les utiliser si la boite est cote en bourse .

Et tu peux aussi mettre des virgules dans tes mots de passe ?
[Désolé j'ai pas pu résister...

]

Zipyz · 21/07/2006, 14h20

Citation:

Envoyé par Médinoc

Mais il me semble bien que les serveurs, eux, sont protégés, et qu'il faut même un bagde pour entrer dans la salle où ils se trouvent.

C'est le cas dans beaucoup de grosses entreprises mais par contre soit les mots de passe sont rarement changés, soit tout le monde les connais, soit les mots de passe sont du genre mdp=nom de la boite ... je trouve ça grave quand même !

_solo · 21/07/2006, 14h53

Citation:

Envoyé par Eusebius

Et tu peux aussi mettre des virgules dans tes mots de passe ?
[Désolé j'ai pas pu résister...

]

je doit activer le clavier virtuel pour ca car la touche virgule ne fonctionne pas ou du moins une fois sur 15 .
je vais d'ailleurs changer le keyboard mapping ( ca fait 3 mois que je me le repete )

faressam · 30/07/2006, 08h22

Je crois que le faite de vous avoir donnée les passes n'était pas une erreur de leur part mais de la confiance car souvent on fait confiance à ces collaborateurs

Eusebius · 30/07/2006, 08h27

Citation:

Envoyé par faressam

Je crois que le faite de vous avoir donnée les passes n'était pas une erreur de leur part mais de la confiance car souvent on fait confiance à ces collaborateurs

En termes de sécurité informatique, ça reste une erreur. Environ 75% des atteintes à la sécurité viennent de l'intérieur de l'entreprise.

David.Schris · 30/07/2006, 13h20

Citation:

Envoyé par Eusebius

En termes de sécurité informatique, ça reste une erreur.

Exact.

Citation:

Envoyé par Eusebius

Environ 75% des atteintes à la sécurité viennent de l'intérieur de l'entreprise.

Je profite de l'occasion, en précisant que je ne cherche pas à te contredire : as-tu une source concernant ces 75% ? En fait, j'ai déjà vu plusieurs pourcentages différents (entre 49 et 80%) et j'aimerai bien savoir comment ils ont été évalués (méthodologie, etc). Si tu n'as pas, tant pis.

Eusebius · 30/07/2006, 17h15

Citation:

Envoyé par David.Schris

Je profite de l'occasion, en précisant que je ne cherche pas à te contredire : as-tu une source concernant ces 75% ? En fait, j'ai déjà vu plusieurs pourcentages différents (entre 49 et 80%) et j'aimerai bien savoir comment ils ont été évalués (méthodologie, etc). Si tu n'as pas, tant pis.

Ma source : le responsable de la sécurité informatique d'un site militaire (une école). Mais c'était un peu un chiffre jeté en l'air, un ordre de grandeur censé concerner les entreprises en général. L'essentiel à retenir je crois est que c'est "la majorité des atteintes à la sécurité viennent de l'intérieur".

JackBeauregard · 01/08/2006, 12h45

J'avais lu que c'était plus de 80% dont un très fort pourcentage de ces 80% provenait d'employés cherchant à se venger d'une manière ou d'une autre (pas d'augmentation, licencié etc...).

deneb · 02/08/2006, 09h14

Le fait qu'on t'ai donné accès aux mdp n'est pas une faute de la DSI.
Il est normal que tu es accès, dans l'exercice de ton métier, à des données confidentielle. Parfois, de simples règles de gestion d'un prog de gestion commerciale sont aussi sensibles que les données comptables elles mêmes...et il faut qu'on te les donne pour que tu les code !
Tu es lié par un contrat avec ton client et il stipule que tu ne dois pas divulguer quoi ce soit concernant l'entreprise, son activité et ses méthodes (tu es d'ailleurs déjà limite en parlant de leur politique de sécurité sur un forum, heureusement que la boite n'est pas citée

). Tu as, en tant que presta, les même devoir de secret que les salariés eux mêmes !

Sinon pour dire une banalité, ce sont souvent les boites les plus parano en matière de sécurité (bourse, banques,...) qui ont les plus gros trous de sécu !

18/07/2006, 12h54	#1
Monstros Velu Membre éprouvé Développeur informatique Inscription : janvier 2003 Messages : 560 Détails du profil Informations personnelles : Sexe : Âge : 33 Localisation : France, Essonne (Île de France) Informations professionnelles : Activité : Développeur informatique Secteur : Associations - ONG Informations forums : Inscription : janvier 2003 Messages : 560 Points : 440 Points : 440	Divulgation de mot de passe Avant ce à quoi certains risquent de s'attendre : non, je ne divulgue pas de mot de passe dans ce post. Je suis en train d'installer une application, alors pour passer le temps, je voulais juste raconter ce qui m'arrivait, voir si c'était arrivé à d'autre, et ce qu'il est possible de faire. Je travaille pour une S.S.I.I. qui a pour client une grande multinationale, qui a demandé la modification d'un site sensé être intranet. Un petit projet, mais utilisé à l'échelle internationnale, commandé par une branche d'un pays de l'est, utilisant des serveurs en grande bretagne, etc... Jusque la, tout va bien. Sauf qu'en lisant le code de l'application actuelle qui m'a été fournit, je me suis rendu compte qu'ils m'avaient donné les mots de passe administrateur de leurs serveurs. Je peux passer des commandes, modifier les données financières, etc... Je trouve ça ahurissant de laisser à une entreprise externe l'accès à des données internes aussi importantes... Je pense que c'est une faute grave de la personne qui m'a donné les codes. Je rajoute que l'administrateur n'est pas en reste, car il doit falloir 20 minutes pour casser le mot de passe tellement il est simple... Voilà, je vous laisse réagir :o) edit : à la réflexion, je ne suis peut-être pas sur le bon forum pour cette discussion... Si quelqu'un veut bien le placer à l'endroit qui convient, j'en serai ravi 8o)
	00

18/07/2006, 12h59	#2
Zipyz Membre chevronné Inscription : mai 2003 Messages : 781 Détails du profil Informations personnelles : Âge : 31 Informations forums : Inscription : mai 2003 Messages : 781 Points : 777 Points : 777	Je pense que c'est quelquechose d'assez courant, ma société travaille également pour une multinationale et 90% des mots de passe d'accès aux serveurs de production et d'accès admin aux application sont du type login=mot de passe et les login sont on ne peut plus simples à trouver. C'est une grande défaillance de la sécurité mais malheureusement on ne peut pas faire grand chose ... __________________ It's not a bug, it's a feature !
	00

21/07/2006, 09h21	#10
Médinoc Expert Confirmé Sénior Développeur informatique Inscription : septembre 2005 Messages : 21 489 Détails du profil Informations personnelles : Sexe : Âge : 28 Localisation : France Informations professionnelles : Activité : Développeur informatique Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : septembre 2005 Messages : 21 489 Points : 28 771 Points : 28 771	Chez nous, je ne sais pas pour les serveurs, mais pour tous les postes client, l'administrateur local a le même MDP que tout le monde dans la boîte connait... Mais il me semble bien que les serveurs, eux, sont protégés, et qu'il faut même un bagde pour entrer dans la salle où ils se trouvent. __________________ SVP, pas de questions techniques par MP. Surtout si je ne vous ai jamais parlé avant. "Aw, come on, who would be so stupid as to insert a cast to make an error go away without actually fixing the error?" Apparently everyone. -- Raymond Chen. Traduction obligatoire: "Oh, voyons, qui serait assez stupide pour mettre un cast pour faire disparaitre un message d'erreur sans vraiment corriger l'erreur?" - Apparemment, tout le monde. -- Raymond Chen.
	00

19/07/2006, 09h59	#3
RV80 Membre habitué Inscription : septembre 2005 Messages : 86 Détails du profil Informations personnelles : Âge : 26 Localisation : France, Somme (Picardie) Informations forums : Inscription : septembre 2005 Messages : 86 Points : 103 Points : 103	Oui, c'est defois desesperant de voir des politiques de sécurité aussi ... inexistante ... Mais bon s'ils ne prennent pas conscience de ça soit un jour ils seront espionner ou leurs données seront effacés ... Ou beaucoup plus drôle : des petits malins entrposeront leurs DivX sur leurs serveurs C'est juste un manque d'information des personnes, il suffit de regarder je suis sur (et même persuadé) que certains administrateurs ont des pass du style root/root mais c'est pas pour autant qu'ils laisseraient leurs voitures toutes la nuits dehors avec les portes grandes ouvertes et les clefs sur le contact . Pourtant au niveau, je suis fou je regarde si j'ai de la chance c'est le même niveau !
	00

19/07/2006, 12h26	#5
Monstros Velu Membre éprouvé Développeur informatique Inscription : janvier 2003 Messages : 560 Détails du profil Informations personnelles : Sexe : Âge : 33 Localisation : France, Essonne (Île de France) Informations professionnelles : Activité : Développeur informatique Secteur : Associations - ONG Informations forums : Inscription : janvier 2003 Messages : 560 Points : 440 Points : 440	Il y a un système d'authentification centralisé, basée sur LDAP. Un système de validation des dépenses, pour pas que l'argent sorte n'importe comment, de la tracabilité sur les produits, etc... Mais là, avec ces mots de passe, j'ai accès à leur coeur de métier et à leurs finances avec le compte admin... Je trouve ça assez énorme.
	00

19/07/2006, 13h28	#6
JackBeauregard Inscrit Inscription : juin 2006 Messages : 531 Détails du profil Informations forums : Inscription : juin 2006 Messages : 531 Points : 225 Points : 225	Tu peux pas te servir des informations pour ta carrière ?
	00

19/07/2006, 14h18	#8
Monstros Velu Membre éprouvé Développeur informatique Inscription : janvier 2003 Messages : 560 Détails du profil Informations personnelles : Sexe : Âge : 33 Localisation : France, Essonne (Île de France) Informations professionnelles : Activité : Développeur informatique Secteur : Associations - ONG Informations forums : Inscription : janvier 2003 Messages : 560 Points : 440 Points : 440	exactement RV80 :o) J'ajoute que mon père travaille à la sécurité des réseaux et du S.I. dans un grand groupe de télécommunication, donc j'ai peut-être été un peu trop formaté :o)
	00

21/07/2006, 14h16	#11
_solo Membre Expert Inscription : juin 2006 Messages : 889 Détails du profil Informations forums : Inscription : juin 2006 Messages : 889 Points : 1 084 Points : 1 084	pour avoir une connexion secure des serveurs moi j'utilise une audiosmartcard il n'y a rien a retenir et en cas de pertes tous les mots de passe font plus de 15 characteres ou cas ou une tentative de cassage de mot de passe par des tables rainbows se ferait. Sinon pour les donnees financieres y a pas moyen de les utiliser si la boite est cote en bourse .
	00

30/07/2006, 08h22	#15
faressam Inscrit Inscription : janvier 2005 Messages : 992 Détails du profil Informations personnelles : Âge : 28 Informations forums : Inscription : janvier 2005 Messages : 992 Points : 178 Points : 178	Je crois que le faite de vous avoir donnée les passes n'était pas une erreur de leur part mais de la confiance car souvent on fait confiance à ces collaborateurs
	00

01/08/2006, 12h45	#19
JackBeauregard Inscrit Inscription : juin 2006 Messages : 531 Détails du profil Informations forums : Inscription : juin 2006 Messages : 531 Points : 225 Points : 225	J'avais lu que c'était plus de 80% dont un très fort pourcentage de ces 80% provenait d'employés cherchant à se venger d'une manière ou d'une autre (pas d'augmentation, licencié etc...).
	00

02/08/2006, 09h14	#20
deneb Membre à l'essai Inscription : août 2006 Messages : 56 Détails du profil Informations personnelles : Âge : 40 Localisation : France Informations forums : Inscription : août 2006 Messages : 56 Points : 22 Points : 22	Le fait qu'on t'ai donné accès aux mdp n'est pas une faute de la DSI. Il est normal que tu es accès, dans l'exercice de ton métier, à des données confidentielle. Parfois, de simples règles de gestion d'un prog de gestion commerciale sont aussi sensibles que les données comptables elles mêmes...et il faut qu'on te les donne pour que tu les code ! Tu es lié par un contrat avec ton client et il stipule que tu ne dois pas divulguer quoi ce soit concernant l'entreprise, son activité et ses méthodes (tu es d'ailleurs déjà limite en parlant de leur politique de sécurité sur un forum, heureusement que la boite n'est pas citée ). Tu as, en tant que presta, les même devoir de secret que les salariés eux mêmes ! Sinon pour dire une banalité, ce sont souvent les boites les plus parano en matière de sécurité (bourse, banques,...) qui ont les plus gros trous de sécu !
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email