Internet : la
grande blague des SSII et des hébergeurs
Ce texte détaille un premier article sur ce thème et apporte des précisions, notamment des noms. Il nous a en effet fallu pas mal de temps pour réunir toutes les informations et les preuves de ce que l'on nous avait rapporté. C'est fait... :) |
|||||||||||
Presse classique, si tu trouves des idées ici, pense à nous citer... |
Comme le rapportait il y a quelques
semaines le Canard Enchaîné, certains sites de commerce électronique peuvent, de temps
à autres, faire la " Une" des media parce quils présentent des
défauts se traduisant généralement par la divulgation à lensemble des intenautes
de données confidentielles. Ce nest toutefois que la partie émergée de
liceberg. Lorsquun il attentif est posé sur ce monde, cest un
véritable cauchemar qui se dévoile. On trouve dans ce domaine des Nouvelles technologies
de linformation et de la communication (NTIC) un savant mélange de je
menfoutisme et dincompétence crasse.
Les exemples sont légion de serveurs mal configurés par des administrateurs systèmes ou des administrateurs réseau nayant aucune maîtrise de ces technologies. Ce qui démontre qu'elles ne sont pas nouvelles que pour les utilisateurs finaux Cela nempêche pas pour autant les SSII ou les hébergeurs de vendre très cher à leurs clients un degré de sécurité quelles sont incapables de fournir. Quelques cas concrets et récents permettent déclairer le débat Il y a quelques mois à peine, pratiquement tous les serveurs Web hébergés par Experian, lune des deux grosses SSII françaises, étaient mal configurés et permettaient à nimporte quel internaute de consulter les commandes passées (pour Infogreffe par exemple) ou les bouts de programme développés spécifiquement pour ces serveurs. Le problème a été réparé un mois et demi après avoir été signalé par un employé non informaticien de lentreprise. Ce qui démontre à la fois lempressement dont peuvent faire preuve ces sociétés, mais aussi la haute considération quelles ont de leurs clients à qui elles ont vendu très cher le concept de sécurité. Nos serveurs Web, cest " Fort Knox ", claironnent les commerciaux des SSII en nomettant pas, bien entendu de rappeler la présence au sein du centre informatique dapplications bancaires qui nécessitent, comme chacun sen doute un fort niveau de sécurité. Argument fallacieux puisque les serveurs Web ne seront pas du tout sur le même réseau que les applications bancaires et quil sagit de technologies bien différentes Que lon se rassure, comme la démontré récemment le Canard, le concurrent direct dExperian, Atos, fait preuve de la même incompétence et a visiblement le même degré de considération pour ses clients. A titre dexemple, on peut donc rappeler ce serveur marchand dun fleuriste virtuel qui exposait les commandes de ses clients. Mais le serveur Web " corporate " dAtos lui-même présente le même défaut de configuration que ceux, en leur temps, dExperian. Nimporte qui peut accéder à des données qui ne sont, normalement pas visibles Le serveur de la BNP est également dans ce cas, comme quoi, le secteur bancaire ne s'inquiète pas plus queles autres de ce genre de choses. Autre blague dAtos, linstallation du module de paiement via Internet et carte bancaire (SIPS) sur le serveur de la FNAC. Nimporte qui peut commander un disque pour le montant de son choix, voire même pour un montant négatif tellement le bidule est mal installé. Et cela dure depuis plus de deux ans Ni Atos, ni la FNAC ne semblent trouver cela étrange. Par ailleurs, comme nous l'avons expliqué ici à maintes reprises, le gouvernement français dont on peut imaginer quil sinquiète de la bonne sécurité de ses serveurs reliés à Internet nest pas en reste. Le secteur public est dans ce cas précis à égalité avec le secteur privé. Même incompétence, même réactivité. Prévenue il y a plus de quatre mois, la personne en charge de rédiger les référentiels techniques de sécurité pour la mise en place de ces technologies de linformation au sein de la mission interministérielle ad hoc a répondu texto quil est difficile de faire bouger les choses. De fait, quatre mois plus tard, le même trou béant de sécurité reste présent et nimporte qui peut par exemple, avoir accès a des détails confidentiels du site du ministère de la Santé. Tout cela est bien hexagonal et nest rien par rapport à laffaire qui vient dêtre dévoilée par un site dinformations américain, alimenté par la crème des hackers : Hackers News Network (www.hackernews.com). HNN a ainsi relevé quun défaut dinstallation dun certain type de serveurs permet à nimporte qui de mettre à jour à distance le serveur. Il est ainsi possible avec un simple navigateur Internet de changer le contenu éditorial dun site ou den effacer toutes les pages. En réalisant une recherche simple sur un bête moteur de recherche, on peut trouver plus de 3.000 sites concernés. Notons au passage que le serveur de lOrganisation mondiale pour le commerce (OMC), situé en Suisse, présente le même défaut que celui du ministère de la Santé. Par ailleurs, le réseau de hackers a pointé du doigt ce qui la fortement médiatisée- une alerte émise par un internaute qui sest rendu compte que six modules permettant dinstaller des caddies virtuels sur un serveur Web marchand permettent, toujours avec un simple navigateur, et sils sont mal installés, de visionner toutes les commandes. Cest ainsi que lon apprend que des Américains sont capables de dépenser plus de 1.000 dollars en bière. Ce qui prouve, pour ceux qui en doutaient que le commerce électronique, ça marche. Même sans trop de sécurité Cela prouve aussi (pour ceux qui doivent encore être convaincus de cela) qu'il ne suffit pas de mettre en place un firewall et de crypter les échanges commerciaux avec SSL pour être dans un environnement secure. Le fait que ces serveurs dévoilent leurs dessous à toute personne qui le demande nest pas terrifiant en soi. Ce qui lest, cest que, lorsquils sont installés correctement ils ne le font pas. En clair, les responsables de ces serveurs nont pas les compétences nécessaires pour exercer leur métier. Ce qui nempêche pas les SSII et les hébergeurs de les fatcurer très cher à leurs clients.
|
Naviguer, lire.... Le Sommaire |
Communiquer... |
Les rubriques! |
Les rubriques! |
Les dossiers |
Malade mental... Qui est Jean-Paul Ney, Le texte de la condamnation |
Malade mental, bis repetita Jean-Paul Ney condamné Condamnation de Jean-Paul Ney |
D'autres choses... |
Rechercher... et sur le Net... |