[Kitetoa, les pizzaïolos du Ouèb

Les serveurs du gouvernement ont aussi des trous de sécurité de base.

 
Sommaire du dossier
Le tableauz des serveurs publics
Et dans le secteur privé?
Liens utiles
Lionel Jospin met Internet à toutes les sauces et comme le Président ou ses prédécesseurs. Il veut faire entrer les NTIC dans l'administration. Oui, mais comment? Kitetoa s'est promené sur le site du Premier ministre. Nous sommes tombés sur une liste de sites publics.

Nous avons donc regardé à quoi ressemblent ces serveurs.

Souvenez-vous, nous avions déjà contacté (il y a des mois) la mission interministérielle chargée de la mise en place des NTIC dans l'administration pour leur signaler des problèmes comme ceux du ministère de la Santé ou de l'Assemblée Nationale.

Peu de choses ont  été faites. Le ministère de la Santé a bien tenté une petite amélioration de son bidule et pendant ce temps, c'est le ministère des Affaires étrangères qui a planté l'installation de son nouveau serveur.

Nous sommes heureux que le Premier ministre souhaite développer l'usage des NTIC. Toutefois, nous ne pouvons que craindre la mise en place de serveurs reliés à Internet, eux-mêmes reliés à des bases de données contenant des données qui devraient rester privées. Car enfin... Si les services techniques gouvernementaux ne sont pas capables d'éviter deux ou trois bugs de base, sauront-ils éviter de vrais gros problèmes qui ne sont bien entendu pas exposés dans "Internet Professionnel" ou "Netsurf"?

Encore une fois, si vous ne savez pas conserver nos données personnelles dans un endroit sur, ne les collectez pas. Ou alors, ne reliez pas vos serveurs à quoi que soit.

Vous allez lire une sorte de tableau qui reprend la liste des serveurs exposés sur le site du Premier ministre. Jeunes excités des exploits, notez avant de lancer tous vos scanners, que les responsables de ces serveurs ont été prévenus par nos soins de leurs problèmes. Il est vrai qu'un serveur comme celui des Affaires étrangères n'a tenu (presque) aucun compte de nos différents mails. A l'époque où nous leurs avions signalé que la balade dans les répertoires du serveur était possible, il n'y avait rien de très important dans ces répertoires. Ce qui doit expliquer leur peu d'empressement à mettre un terme à ce problème. Toutefois, on ne sait jamais de quoi demain est fait. Et voyez-vous, apparaît aujourd'hui un fichier intitulé "passwd". Pour l'instant il ne semble pas qu'il y ait quoi que soit d'intéressant pour un pirate dans ce fichier. Mais demain? Une telle attitude, pour le moins désabusée, n'est peut-être pas celle de tous les responsables de serveurs que nous avons prévenus et vous risqueriez, à trop essayer vos scanners, de vous retrouver devant un juge. Ce qui peut gâcher votre journée.

Certains nous disent: "oui, bon, Kitetoatoa, ton truc c'est bien, mais on ne peut rien en faire, on n'entre pas dans le serveur avec ton bidule qui liste le contenu des répertoires, bref ça pue!". Bon... Le fait de lister les directories est intéressant car cela apporte des tonnes d'informations sans trop de boulot. Exemples: les logs et donc les connexions d'utilisateurs référencés (user ID par exemple au ministère de la Santé) ou les I.P internes du réseau... Un premier gros pas vers un piratage du serveur. Mais ce truc permet aussi, parfois, comme pour la CPR/E*Trade ou une très grosse banque française, de tomber sur le fichier qui renferme les mots de passe. Qu'est-ce que cela peut apporter d'autre? Des liaisons vers certains types de bases de données comme chez www.directfinance.com. Par ailleurs, cette action démontre qu'un bug de base n'a pas été pris en compte par l'installateur de la merveille technologique qu'est ce serveur Web. Le reste ne doit pas être mieux. Demandez à un expert sécurité de se pencher sur le serveur et il y a 9 chances sur 10 qu'il découvre un bug majeur exploitable. Ne parlons même pas de l'état général du réseau en termes de sécurité...

Abordons maintenant la méthode utilisée par Kitetoa pour ce tableau:

Nous avons testé le listing des directories, l'affichage de la page d'administration à distance du serveur pour les serveurs Netscape et le bug d'IIS découvert par www.eEye.com en juin dernier. Notez que sur ce dernier point nous ne pouvons garantir à 100% la présence de ce bug puisque nous n'avons pas vérifié en montant le cheval de Troie sur le serveur. Reste que s'ils y sont sujets, ces serveurs sont à la merci de n'importe quel script kiddie.

Allez, passons au tableau. Finalement, c'est quand même pour cela que vous êtes venus sur cette page. Non?

Kitetoa

 

Page d'accueil

Nous écrire
By mail

Nous envoyer des commentaires
By la page de le Feed-Back

Les mailing-lists

Nouveautés

Les stats du serveur

et...

Qui sommes-nous?

Le Sommaire
de
Kitetoa
(orientation...)

Sommaire général du site
(voir tout le contenu)

Les rubriques!

Les livres publiés par Kitetoa
Les Textes
Les interviews

Kit'Investisseurs
Fonds d'écran et autres trucs

Les rubriques!
(suite)
Les Let-R-s

Des Images
On s'en fout!

KitEcout'
KessTaVu? -KiteToile
Voyages

Statisticator, l'autre site...

Les dossiers :

Precision [ZataZ]
Le monde fou des Admins
Defcon
Le hack le plus bizarre
Guerre de l'info
Convention contre la cyber-criminalité
Hack

Questionnaire visant à améliorer le contenu de  ce site si c'est possible et pas trop compliqué

Réponses au questionnaire visant...
(merci)

Le Forum
Kitetoa-blah-blah

Rechercher
sur le site

...et sur le Net


Des liens
et
D'autres choses du Ouèb