IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    7 313
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 7 313
    Points : 175 628
    Points
    175 628
    Par défaut Un consultant en sécurité indique qu'il est entré par effraction dans le centre de données
    Un consultant en sécurité indique qu'il est entré par effraction dans le centre de données
    via un chemin caché derrière les toilettes

    De nombreuses failles de sécurité impliquent des fuites, mais peut-être pas de la même manière que celle révélée par le célèbre consultant en sécurité Andrew Tierney, qui a réussi à obtenir un accès non autorisé à un centre de données via ce qu'il appelle le « couloir de la pisse ».

    Tierney, qui travaille comme consultant pour la société de services de sécurité Pen Test Partners, a révélé dans un fil Twitter comment l'un de ses exploits les plus mémorables consistait à démontrer qu'il était possible d'accéder physiquement à la zone supposée sécurisée d'un centre de données via ses toilettes.

    En affichant un diagramme pour illustrer, Tierney a montré que l'installation sans nom avait des toilettes séparées pour l'espace de bureau général et la zone sécurisée où l'infrastructure informatique est hébergée. Cependant, les deux toilettes étaient contiguës et Tierney s'est rendu compte qu'il y avait en fait un espace d'accès partagé pour desservir les toilettes derrière les deux ensembles de cabines, qu'il a baptisé le «couloir de la pisse».

    Il s'est avéré que cet espace d'accès pouvait être atteint par une porte dissimulée dans une cabine d'accessibilité - une cabine plus grande conçue pour l'accès en fauteuil roulant - de chaque côté de la séparation sécurisée/non sécurisée. C'est donc exactement ce que Tierney a fait, en entrant dans les toilettes du côté de l'espace de bureau général et en accédant au « couloir de la pisse » via la cabine d'accessibilité, en sortant du côté supposé sécurisé de la même manière.

    Tierney omet de mentionner si les portes dissimulées étaient verrouillées pour empêcher tout utilisateur curieux des toilettes d'entrer dans l'espace d'accessibilité, ou s'il devait crocheter les serrures pour entrer.

    Le seul moment gênant aurait pu survenir si la cabine accessible du côté sécurisé avait été occupée lorsque Tierney a ouvert la porte dissimulée, et il prétend donc qu'il ne l'a fait qu'après s'être « « vraiment assuré qu'il n'y avait personne d'autre dans l'autre cabine ».

    Ravi de son succès, Tierney a noté qu'il venait de réussir à vaincre la protection de sécurité du centre de données qui impliquait des portes d'entrée mantrap où le personnel devait « rendre tous les appareils numériques » à l'entrée. Pire encore, la disposition des toilettes était visible sur les documents de planification publique, ce qui signifie que n'importe qui aurait pu comprendre comment contourner la sécurité.

    La leçon pour les opérateurs d'installations sécurisées est de faire très attention à ne pas être pris de court avec des moyens aussi évidents de contourner les contrôles de sécurité physiques.

    Nom : office.png
Affichages : 14870
Taille : 26,7 Ko

    Source : Explications d'Andrew Tierney

    Et vous ?

    Qu'en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    janvier 2007
    Messages
    10 056
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : janvier 2007
    Messages : 10 056
    Points : 27 568
    Points
    27 568
    Par défaut
    Le diable se cache toujours dans les détails


    ... et dans les wc aussi, en l’occurrence
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  3. #3
    Membre averti

    Homme Profil pro
    Développeur Web
    Inscrit en
    octobre 2013
    Messages
    173
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Pérou

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : octobre 2013
    Messages : 173
    Points : 345
    Points
    345
    Par défaut
    Les seuls pompiers devaient être au courant de ce passage !

  4. #4
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    janvier 2007
    Messages
    10 056
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : janvier 2007
    Messages : 10 056
    Points : 27 568
    Points
    27 568
    Par défaut
    Même pas sur.
    D'après le explications données, l'espace en question ne semble pas être un accès pompier, mais plutôt un espace technique donnant accès à la plomberie des wc.
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  5. #5
    Membre averti

    Homme Profil pro
    Développeur Web
    Inscrit en
    octobre 2013
    Messages
    173
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Pérou

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : octobre 2013
    Messages : 173
    Points : 345
    Points
    345
    Par défaut
    Citation Envoyé par sevyc64 Voir le message
    Même pas sur.
    D'après les explications données, l'espace en question ne semble pas être un accès pompier, mais plutôt un espace technique donnant accès à la plomberie des wc.
    On appelle ça un / des vides sanitaires. En France et sauf erreur, ils ne sont accessibles que par des trappes, pas des portes, même si un homme peut entrer par la trappe !

  6. #6
    Membre expérimenté
    Homme Profil pro
    Développeur .NET
    Inscrit en
    janvier 2004
    Messages
    437
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : Finance

    Informations forums :
    Inscription : janvier 2004
    Messages : 437
    Points : 1 656
    Points
    1 656
    Par défaut
    Un vide sanitaire n'a rien à voir avec les canalisations même si on les retrouve souvent dedans

    Un vide sanitaire est un espace vide situé sous le sol de la maison dont l'objectif principal est de lutter contre les remontées d'humidité. Concrètement, il s'agit d'un volume d'air laissé vide entre le plancher de la maison et la terre sur laquelle elle est construite.

    Dans mon batiment au boulot il y a des couloirs entre les differents blocs de toilettes pour stocker les produits d'entretien, chariot etc du personnel du ménage entre autre. On accède au couloir en passant par une porte dans les toilettes pour personnes à mobilité réduite (seules toilettes assez grande pour pouvoir y manipuler un chariot) .

    On y trouve également les conduites d'eau. Mais au moins les 2 blocs de toilettes reliés se trouvent dans la même zone (donc mêmes droits nécessaires pour y accéder)

  7. #7
    Expert éminent
    Avatar de Escapetiger
    Homme Profil pro
    Administrateur système Unix - Linux
    Inscrit en
    juillet 2012
    Messages
    1 329
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 60
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Administrateur système Unix - Linux

    Informations forums :
    Inscription : juillet 2012
    Messages : 1 329
    Points : 9 989
    Points
    9 989
    Par défaut
    Citation Envoyé par sevyc64 Voir le message
    Le diable se cache toujours dans les détails


    ... et dans les wc aussi, en l’occurrence
    Forum => Le club des professionnels en informatique => La taverne du Club : Humour et divers

    wc - Afficher le nombre de lignes, de mots et d'octets d'un fichier

    https://man.developpez.com/man1/wc/
    Man page 1 : wc
    (word count)

    bis
    « Developpez.com est un groupe international de bénévoles dont la motivation est l'entraide au sens large » (incl. forums developpez.net)
    Club des professionnels en informatique

  8. #8
    Membre à l'essai
    Homme Profil pro
    Obervateur de nuage 2.3
    Inscrit en
    mars 2020
    Messages
    36
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 22
    Localisation : Bahamas

    Informations professionnelles :
    Activité : Obervateur de nuage 2.3

    Informations forums :
    Inscription : mars 2020
    Messages : 36
    Points : 17
    Points
    17
    Par défaut
    une backdoor en réel en quelque sorte accessible via la cacadoor ...

Discussions similaires

  1. Réponses: 3
    Dernier message: 06/12/2010, 16h59
  2. Réponses: 10
    Dernier message: 13/11/2009, 18h57
  3. [MySQL] Indiquer l'adresse e-mail en clair dans l'URL et sécurité des données php et db
    Par Dendrite dans le forum PHP & Base de données
    Réponses: 2
    Dernier message: 22/06/2008, 23h02
  4. [Sécurité] Le client/serveur est il dangereux ?
    Par kisitomomotene dans le forum Débats sur le développement - Le Best Of
    Réponses: 19
    Dernier message: 18/09/2007, 01h22
  5. La main indiquant un lien Est il possible de la faire disparaitre et - ?
    Par bilou95 dans le forum Balisage (X)HTML et validation W3C
    Réponses: 5
    Dernier message: 17/05/2007, 16h06

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo