[Kitetoa, les pizzaïolos du Ouèb

Comment Ernst and Young offre les moyens aux pirates de faire du social engineering...

 
Récapitulatif des papiers
sur le monde étrange
des administrateurs réseau
et systèmes
Récapitulatif de nos
copies d'écran
sur ce même monde étrange
It's a funky job.
But Kitetoa's digital clone
does it...
Do you know info-hack
Kung-Fu?
La hotte du Kitetopapanoël
Ze Mega Kite-Teuf!
La fête de l'été de Kitetoa...
Les sites les plus nazes
de l'été 2000
La Loi de 78 impose
aux entreprises de protéger
les bases de données qu'elles
constituent...
Le 17 décembre dernier, nous avons envoyé un mail à tous les responsables techniques de Ersnt & Young.fr ainsi qu'à la personne responsable de la communication afin de leur signaler le problème que connaît leur serveur Lotus.

Nous n'avons jamais reçu de réponse. Comme nous souhaitions publier notre histoire, nous avons pris soin de demander par téléphone à la personne chargée de la communication si elle avait bien reçu notre mail. Réponse positive...

Le 23 décembre, le problème est toujours là. Etant donné que www.l0pht.com a publié les premières advisories sur ce sujet en 1996 puis a continué début 1998, il nous semble qu'il ne doit pas être impossible de restreindre l'accès aux bases ne devant pas être consultées par les internautes. Comme c'est le cas de cet étrange annuaire des anciens de Ersnt & Young dans lequel figurent, outre l'adresse personnelle, le téléphone personnel des anciens, leur poste actuel ou leur date d'entrée et de sortie de E&Y...

Visiblement, si E & Y ne modifie pas l'accès à ce fichier, c'est que la situation actuelle ne les dérange pas... Les responsables de E&Y ont-ils toutefois posé la question à leurs anciens qui se trouvent  dans la base? Le fichier est-il déclaré à la CNIL? Cette dernière, consultée par Kitetoa promet une réponse sous peu...

Quoi qu'il en soit, il semble que E & Y ne mesure pas les risques liés au social engineering que l'accès à cette base représente...

Quelques petits scenarii simples devraient permettre de les aider à mieux comprendre...

Consulting gratuit

Kitetoa se lance donc dans une petite séance de consulting gratuit... C'est bien plus simple que ce qui pourrait venir à l'esprit de vilains pirates. Il ne s'agit là que d'illustrer un risque...

- Allô le cabinet fiscal XX? Ici YYY, le Directeur des affaires comptables et fiscales d'Aérospatiale, je souhaiterai savoir si l'affaire en cours a évoluée?

Variante:

- Allô M. XX, vous êtes bien l'analyste du secteur aérospatial chez Burkez and Boltonz? Je suis le Directeur des affaires comptables et fiscales d'Aérospatiale et je suis en train de passer quelques coups de fils pour organiser une réunion d'analystes deux jours avant la publication des résultats. Voyez-vous, nous souhaiterions expliquer les raisons d'une annonce qui pourrait être mal comprise sur nos bénéfices...

- Allô le service informatique? Ici XXX, le contrôleur de gestion [de Virgin]. Pourriez vous m'adresser les derniers listings de dépenses de votre service, notamment en ce qui concerne le matériel lié à l'Intranet? Je vous donne mon adresse personnelle parce que je veux y travailler pendant les fêtes... Au passage, pourriez vous me redonner mon mot de passe pour le mail parce que je l'ai égaré...?

- Allô M. X? Ici M. Y, chef comptable de Suez-Lyonnaise des Eaux. Je vous appelle pour passer un contrat sur les membres de Kitetoa.com. Je voudrais que vous les entartiez au plus vite histoire de les faire réfléchir! Y'en a marre d'être tout le temps à l'affiche sur leur serveur!

Variante:

- Allô M. X, Passez-moi le commercial. Je suis M. Y, Chef comptable de la  Lyonnaise. Allô? Oui, je vous appelle pour vous demander de livrer 1 tonne de tartes à la crème au siège de Suez-Lyonnaise des Eaux.

Ce genre de délire serait possible avec le chef du service comptabilité générale de la Sicovam, le directeur business planning et contrôle économique de SFR, le director of finance du Parlement Européen, le directeur contrôle de gestion de NRJ, le responsable contrôle de gestion de Matra Bae Dynamics, le chef du département des systèmes informatiques de Giat Industries ou encore le responsable de l'audit interne à la direction centrale des marchés des capitaux du Crédit Lyonnais. Et la liste est longue... Très longue...

Kitetoa

 

Page d'accueil

Nous écrire
By mail

Nous envoyer des commentaires
By la page de le Feed-Back

Les mailing-lists

Nouveautés

Les stats du serveur

et...

Qui sommes-nous?

Le Sommaire
de
Kitetoa
(orientation...)

Sommaire général du site
(voir tout le contenu)

Les rubriques!

Les livres publiés par Kitetoa
Les Textes
Les interviews

Kit'Investisseurs
Fonds d'écran et autres trucs

Les rubriques!
(suite)
Les Let-R-s

Des Images
On s'en fout!

KitEcout'
KessTaVu? -KiteToile
Voyages

Statisticator, l'autre site...

Les dossiers :

Precision [ZataZ]
Le monde fou des Admins
Defcon
Le hack le plus bizarre
Guerre de l'info
Convention contre la cyber-criminalité
Hack

Questionnaire visant à améliorer le contenu de  ce site si c'est possible et pas trop compliqué

Réponses au questionnaire visant...
(merci)

Le Forum
Kitetoa-blah-blah

Rechercher
sur le site

...et sur le Net


Des liens
et
D'autres choses du Ouèb