Bonjour à tous!

Je fait actuellement un audit sécurité.
Comme toujours, je me débrouille pour apprendre et faire :p.

L'audit intègre un peu de pentest (validé et cadré bien sûr). Et... j'ai fini par mettre la main sur des mots de passe, en clair dans des fichiers texte ou dans Firefox (sans mot de passe général).
Ces pratiques étant interdites bien sûr (et vu en sensibilisation et tout ça, mais il y a toujours des récalcitrants...).
Lors du pentest, je dois fournir procédure et preuves...

- là, ça pointe directement certains utilisateurs, pas top. A priori, il faut éviter dans le compte-rendu non? Dans ce cas, que dois-je faire? Ne pas citer les noms mais garder les preuves à disposition (qui ne cachent rien elles)?
- dois-je cacher les mots de passe y compris dans les éléments de preuves? Dans tous les cas je ferais changer ^^
- et plus gênant, j'ai chopé des mot de passe personnel, genre les impôts... je me vois mal filer ça à la direction mais ça veut dire que je supprime ou tronque les éléments de preuves... votre avis?

Je n'ai pas trouvé de "règles" sur Internet concernant ces points.
Si vous avez menez des audits et rencontré ce genre de situation, j'apprécierais votre avis.

Merci