Comment Ernst and Young offre les moyens aux pirates de faire du social engineering... |
|||||||||||
|
Le 17 décembre dernier,
nous avons envoyé un mail à tous les responsables techniques de Ersnt & Young.fr
ainsi qu'à la personne responsable de la communication afin de leur signaler le problème
que connaît leur serveur Lotus. Nous n'avons jamais reçu de réponse. Comme nous souhaitions publier notre histoire, nous avons pris soin de demander par téléphone à la personne chargée de la communication si elle avait bien reçu notre mail. Réponse positive... Le 23 décembre, le problème est toujours là. Etant donné que www.l0pht.com a publié les premières advisories sur ce sujet en 1996 puis a continué début 1998, il nous semble qu'il ne doit pas être impossible de restreindre l'accès aux bases ne devant pas être consultées par les internautes. Comme c'est le cas de cet étrange annuaire des anciens de Ersnt & Young dans lequel figurent, outre l'adresse personnelle, le téléphone personnel des anciens, leur poste actuel ou leur date d'entrée et de sortie de E&Y... Visiblement, si E & Y ne modifie pas l'accès à ce fichier, c'est que la situation actuelle ne les dérange pas... Les responsables de E&Y ont-ils toutefois posé la question à leurs anciens qui se trouvent dans la base? Le fichier est-il déclaré à la CNIL? Cette dernière, consultée par Kitetoa promet une réponse sous peu... Quoi qu'il en soit, il semble que E & Y ne mesure pas les risques liés au social engineering que l'accès à cette base représente... Quelques petits scenarii simples devraient permettre de les aider à mieux comprendre... Consulting gratuit Kitetoa se lance donc dans une petite séance de consulting gratuit... C'est bien plus simple que ce qui pourrait venir à l'esprit de vilains pirates. Il ne s'agit là que d'illustrer un risque... - Allô le cabinet fiscal XX? Ici YYY, le Directeur des affaires comptables et fiscales d'Aérospatiale, je souhaiterai savoir si l'affaire en cours a évoluée? Variante: - Allô M. XX, vous êtes bien l'analyste du secteur aérospatial chez Burkez and Boltonz? Je suis le Directeur des affaires comptables et fiscales d'Aérospatiale et je suis en train de passer quelques coups de fils pour organiser une réunion d'analystes deux jours avant la publication des résultats. Voyez-vous, nous souhaiterions expliquer les raisons d'une annonce qui pourrait être mal comprise sur nos bénéfices... - Allô le service informatique? Ici XXX, le contrôleur de gestion [de Virgin]. Pourriez vous m'adresser les derniers listings de dépenses de votre service, notamment en ce qui concerne le matériel lié à l'Intranet? Je vous donne mon adresse personnelle parce que je veux y travailler pendant les fêtes... Au passage, pourriez vous me redonner mon mot de passe pour le mail parce que je l'ai égaré...? - Allô M. X? Ici M. Y, chef comptable de Suez-Lyonnaise des Eaux. Je vous appelle pour passer un contrat sur les membres de Kitetoa.com. Je voudrais que vous les entartiez au plus vite histoire de les faire réfléchir! Y'en a marre d'être tout le temps à l'affiche sur leur serveur! Variante: - Allô M. X, Passez-moi le commercial. Je suis M. Y, Chef comptable de la Lyonnaise. Allô? Oui, je vous appelle pour vous demander de livrer 1 tonne de tartes à la crème au siège de Suez-Lyonnaise des Eaux. Ce genre de délire serait possible avec le chef du service comptabilité générale de la Sicovam, le directeur business planning et contrôle économique de SFR, le director of finance du Parlement Européen, le directeur contrôle de gestion de NRJ, le responsable contrôle de gestion de Matra Bae Dynamics, le chef du département des systèmes informatiques de Giat Industries ou encore le responsable de l'audit interne à la direction centrale des marchés des capitaux du Crédit Lyonnais. Et la liste est longue... Très longue...
|
Naviguer, lire.... Le Sommaire |
Communiquer... |
Les rubriques! |
Les rubriques! |
Les dossiers |
Malade mental... Qui est Jean-Paul Ney, Le texte de la condamnation |
Malade mental, bis repetita Jean-Paul Ney condamné Condamnation de Jean-Paul Ney |
D'autres choses... |
Rechercher... et sur le Net... |