Des administrateurs réseau très réactifs...
| Récapitulatif
des papiers sur le monde étrange des administrateurs réseau et systèmes |
| Récapitulatif
de nos copies d'écran sur ce même monde étrange |
| It's a funky job. But Kitetoa's digital clone does it... |
| Do you know info-hack Kung-Fu? |
| La hotte du Kitetopapanoël |
| Ze Mega
Kite-Teuf! La fête de l'été de Kitetoa... Les sites les plus nazes de l'été 2000 |
| La
Loi de 78 impose aux entreprises de protéger les bases de données qu'elles constituent... |
Nous vous avions promis un article un peu saignant sur les administrateurs réseaux. Nous allons sans aucun doute nous perdre dans les détails car tout cela boucle sur de nombreux sujets. Même si nous perdons un peu le fil conducteur, ne lâchez pas prise, cela devrait être tout de même assez intéressant. Surtout sur la fin. L'idée générale est que tout le monde plonge ou a déjà plongé dans le Ouèb sans trop s'inquiéter des impacts que cela peut avoir sur la sécurité des réseaux, des données, des applications, mais aussi sur l'image des entreprises.
De fait, la tendance générale (dans le privé comme dans le public) est: "vite, vite, un serveur Web, un catalogue en ligne, des services à valeur ajoutée pour fidéliser le client, vite avant que la concurrence ne s'installe sur le Web". Bravo. Généralement, cela se fait dans la précipitation, avec l'aide d'une SSII reconvertie tant bien que mal (plutôt mal d'ailleurs) dans les technologies issue d'Internet. Ou encore, avec l'aide du service informatique qui se forme à ces technologies en même temps que le projet avance. Rassurons nous, les SSII apprennent sur le dos de leurs clients et cela n'est pas nouveau. Une fois monté, le service est sans doute très beau, très graphique, très "flash", mais il n'y a personne derrière pour le faire vivre... En clair, on budgète la création d'un service mais pas sa vie future. Si la vie du serveur est prévue dans le budget, elle l'est pour une somme modique qui ne correspond pas aux besoins, loin de là. L'idée selon laquelle un serveur Web est comme un journal ou une radio, qu'il demandera des mises à jour fréquentes, un oeil attentif pour surveiller les logs, une main alerte pour répondre aux mails est insupportable à ceux qui détiennent les cordons de la bourse...
Sécurité
Parfois, le chef de projet est très intelligent et dispose de quelques fonds. Il fait alors plancher des consultants en sécurité informatique pour valider les choix qui sont fait. Encore faut-il que ces consultants sachent de quoi ils parlent et qu'ils soient spécialisés dans les technologies dont nous parlons. Il y a très peu d'entreprises en France qui puissent répondre aux critères nécessaires. Mais c'est une autre histoire. En revanche ce que le chef de projet ne fait pas, c'est de faire procéder à des tests d'intrusion une fois le serveur installé. Et surtout, faire procéder à ces tests par une autre entreprise que celle qui a travaillé en amont. Bien entendu...
La plupart du temps, dans le cahier des charges du projet, on trouve une longue partie sur la sécurité et/ou sur la qualité. Tout est écrit, il y aura des firewall partout, des proxys, des conservations des traces (logs) sur des bandes qui seront stockées dans des armoires ignifugées et tout et tout. Mais les écrits ne résistent pas à l'épreuve de la triste réalité, au train-train quotidien. Très vite, plus personne ne semble regarder ce que les logs peuvent laisser entrevoir. Hackers du monde entier, continuez tranquilles vos activités...
;)
Kitetoa au chevet du gouvernement
Le problème des administrateurs systèmes et/ou réseaux n'est pas forcément qu'ils sont incompétents comme le sous-entendent parfois certains hackers en estimant qu'on ne peut pas les blâmer pour leurs actions, les administrateurs des réseaux attaqués n'ayant que ce qu'ils méritent. Le degré de gravité de l'attaque étant proportionnel à l'incompétence démontrée par l'administrateur à protéger son réseau. Le vrai problème est celui du nombre de personnes et des ressources en temps et en matériel qui est mis à disposition pour protéger le réseau. Tandis que les hackers ont généralement du temps, les administrateurs sont souvent sur la brèche avec tout un parc d'utilisateurs à satisfaire. De plus, les hackers savent partager l'information en temps réel, formant ainsi la plus grande entreprise virtuelle de sécurité (parfois d'insécurité) informatique du monde... Les administrateurs, eux, ne disposent ni de temps, ni d'outils pour échanger l'information avec un résultat aussi pertinent.
Outre ces problèmes plus ou moins matériels, les administrateurs se heurtent parfois à l'inertie de l'entité qu'ils sont sensés protéger. Cela peut être le cas dans une entreprise privée où personne ne souhaite prendre de responsabilité, ou encore, dans une entreprise où le moindre achat nécessite la signature de quinze personnes. Mais cette situation est également rencontrée dans l'administration.
Il y a environ un mois, Kitetoa a découvert en lisant le WarDoc de Rhino9 un "truc" simplissime qui permet d'afficher le contenu (l'arborescence) d'un serveur) alors que celui-ci est paramétré pour ne pas laisser le visiteur avoir accès à ces informations. Ce truc est une fonction mise en place par l'éditeur du serveur afin de permettre, notamment la mise à jour du serveur Web. Bilan des courses, lorsque l'installation est mal faite, les visiteurs peuvent accéder à toute l'arborescence du serveur, y compris les dossiers et fichiers cachés, ou, parfois, simplement de quelques répertoires. Ceci permet entre autres choses d'accéder à des scripts développés pour tel ou tel serveur, de visionner les fichiers logs (avec toutes les mises à jours et notamment les I.P. qui procèdent à ces mises à jour), d'accéder au statistiques, aux répertoires d'administration pour les serveurs qui disposent des extensions Front Page. Enfin, ce "truc" légèrement modifié, est un appel à l'applet Java qui permet d'uploader des fichiers sur le serveur . Où encore, de donner ou retirer des droits aux utilisateurs. Juste des petits machins, quoi... Notons tout de même qu'il convient de disposer des logins et mots de passe ad hoc pour réaliser ces dernières actions.
Kitetoa s'est donc penché sur les serveur qui lui semblent les plus en vue. Les banques, les media et, bien entendu la liste des serveurs du gouvernement. Bilan des courses, le serveur de la banque choisie était vulnérable. Prévenu, l'administrateur a réglé le problème dans la matinée. Les serveur hébergés par l'employeur d'un des membres de Kitetoa ont été "réparés" à peu près un mois après la première alerte. Mais le plus rigolo est la réaction des représentants du gouvernement (oui, leurs serveurs aussi).
F3aR z3 r34ct1v173 d3 m0n G0uv3rN3m3N7!!!
La méthode de passage d'information est un peu complexe. Mais disons pour simplifier que Kitetoa a gardé quelques bons contacts un peu partout. C'est ainsi qu'en partant de la banque dont on parlait un peu plus haut, un message sensibilisateur a été adressé au cabinet du premier ministre, laissant entendre qu'il y avait un bug sur les serveurs du gouvernement. L'information a mis un certain temps à faire son effet et les services du premier ministre ont fini par laisser entendre qu'ils voulaient bien écouter l'histoire. Encore une fois, la réactivité est fulgurante puisque rendez-vous est pris pour un mois après la première sensibilisation des autorités...
Elles se sentent donc aussi concernées qu'une entreprise privée (une chaîne de T.V. qui a le même problème n'a jamais répondu à notre mail) par les problèmes de sécurité.
Nous avons rencontré ce matin un représentant de notre vénéré gouvernement...
;)
Voici le résultat des courses: le problème de sécurité est ennuyeux. Il va donc passer l'information. "Mais vous savez, d'ici à ce que quelque chose soit véritablement fait pour réparer... Il va s'écouler un certain temps". Fear la réactivité de mon gouvernement, man! Et puis, dans l'administration il est très difficile de faire bouger les choses. On manque de tout, de volontés, de volontaires, de personnes sensibilisées à ces problèmes de sécurité, de tout quoi... Terrible constat qui montre que le gouvernement a beau dresser des orientations dans le domaine des NTIC, la base ne suit pas forcément. Tout au plus suit-elle en traînant les pieds.
Autre question posée par Kitetoa: "normalement, si vous aviez quelqu'un ou un programme qui vérifie les logs, nous aurions du être contactés parce que notre navigation sur les sites du gouvernement n'était pas banale. Pourquoi ne s'est-il rien passé de la sorte?". Réponse: "nous n'avons pas ce genre de personnes qui regardent les logs. Et puis les stats pour certains serveurs ne sont disponibles qu'une fois par mois uniquement". Kitetoa préfère croire que son interlocuteur n'a pas une vision précise des outils de supervision des réseaux gouvernementaux. C'est plus rassurant.
Lionel, méfiance, ils sont un peu space dans les sous-sols... Ne te cantonne pas à la libération de la crypto, va...
Update:il y a une suite à tout ça... C'est Admis 1 puis Admins 2, puis Amins 3, puis Admins 4. Vous ne pourrez pas dire qu'on ne suit pas nos dossiers...