Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Un hacker accède aisément aux emails de députés européens

Un hacker vaillant qui dénonce

Un hacker accède aisément aux emails de députés européens

Le 21 novembre 2013 à 17h18

Un hacker a réussi à accéder à des dizaines de milliers d'emails et de données personnelles de certains députés européens, de leurs assistants et collaborateurs selon un article paru ce jour sur Médiapart. Le hacker avait pour objectif principal non pas de détruire des informations, mais de mettre en avant les failles du système et en particulier d'Exchange de Microsoft, dont il critique vivement le choix.

Mediapart hack parlement européen emails

Capture d'écran d'emails de députés européens publiée par Médiapart.

Les rapports avec Microsoft pointés du doigt

En plein débat sur l'espionnage et l'utilisation de logiciels propriétaires, un hacker au chapeau blanc (« white hat ») a il y a quelques mois pu accéder aux courriels de six députés européens (dont trois Français), de divers assistants parlementaires et même de deux employés du service informatique et sécurité du parlement européen. Pour réaliser cette intrusion, cette personne s'est tout simplement posée près du parlement à Strasbourg et a attendu que certaines personnalités politiques se connectent à Internet en passant par son réseau Wi-Fi proposé par l'intermédiaire de son PC portable. Ensuite, le hacker récupère les mots de passe et identifiants des personnes connectées, lui permettant ainsi d'accéder à leurs comptes.

 

Aucune information n'a été publiée suite à ces intrusions. Le but n'était d'ailleurs pas de mettre en ligne des données sensibles et d'imiter Wikileaks ou Edward Snowden, mais plutôt de démontrer les failles du système et l'erreur du choix de Microsoft. En effet, qu'il s'agisse des ordinateurs ou encore des emails des parlementaires et de leurs collaborateurs, la firme américaine a signé de juteux contrats avec les élus européens, permettant ainsi à Windows et Exchange d'être présents sur des milliers d'appareils, ceci depuis une vingtaine d'années maintenant.

 

En 2011, alors qu'un contrat prenait fin vis-à-vis des ordinateurs des instances européennes, la Commission a finalement renégocié avec Microsoft, excluant de facto les solutions libres, qui permettaient pourtant une meilleure interopérabilité. « L'expiration du contrat qui liait la Commission à Microsoft aurait pu être l'occasion d'ouvrir le marché de la bureautique des institutions européennes, grâce à un marché public ouvert à tous » expliquait ainsi l'APRIL à l'époque.« Mais la Commission européenne a choisi de ne pas faire d'appel d'offres ni de procédure publique, en optant pour un marché négocié, qui l'autorise à négocier avec Microsoft pour l'achat des licences sans passer par un marché ni une mise en concurrence, donc sans que le Parlement européen et les citoyens aient leur mot à dire. »

En 2012, la Free Software Foundation Europe (FSFE) a été particulièrement choquée d'apprendre que Microsoft offrait ses logiciels aux employés du parlement européen (non pas les élus). « La concurrence et les questions d'approvisionnement mises à part, il ne semble pas adéquat que les personnes chargées de rédiger les textes de loi pour réguler le marché européen puissent accepter des cadeaux des entreprises qu'ils sont supposés réglementer » faisait remarquer Karsten Gerloff, le président de la FSFE.

Et si l'on se concentre sur la France, rappelons qu'en 2008, nous révélions que Microsoft avait proposé à au moins deux ministères nationaux une offre « open bar », c'est-à-dire à un accès complet aux solutions de Microsoft contre une certaine somme (100 ou 150 euros par poste).

« Que faut-il penser de notre processus démocratique ? » 

Mais pour le hacker, interrogé par Médiapart, Microsoft n'est pas le seul problème. Ses intrusions, pouvant être réalisées par « n’importe qui » selon ses dires, avaient aussi une portée politique, avec en fond le manque de réaction des Européens vis-à-vis de l'espionnage de la NSA. « D’un côté, il y a les citoyens qui, aujourd’hui, ne savent quasiment rien de ce qui se passe dans les coulisses de ces institutions, des liens entre le monde politique et économique... Et de l’autre, nous avons des agences de renseignements quasiment omniscientes qui, grâce à leur espionnage, peuvent décider de l’avenir d’un homme politique ou influer sur des décisions » a-t-il ainsi déclaré.

 

Pour le hacker, la facilité avec laquelle il a réussi à s'introduire dans les messageries des personnalités politiques européennes est un problème majeur. Car si avec du matériel banal (un simple PC portable) il a pu en assez peu de temps obtenir des données personnelles de quatorze élus, assistants et employés du parlement à Strasbourg, « que faut-il penser de notre processus démocratique ? Ce sont ses bases mêmes qui sont remises en cause. » Ce hack a ainsi pour but de faire prendre conscience aux politiques européens de l'urgence d'une remise en question sur le plan de la sécurité.

 

Mais pour que la situation change, il faudra probablement que l'eau coule sous les ponts. Interrogée par notre confrère, Isabelle Attard, députée EELV à l’Assemblée nationale, indique ainsi que « le poids énorme des lobbys » est un frein évident au changement et à l'ouverture vers le logiciel libre. Plus grave encore, selon la députée, le problème dépasse largement le cas du lobbying : « il y a une totale méconnaissance de ces problématiques par les décideurs politiques. (...) Quand nous évoquons ces sujets, la plupart de nos collègues ne nous prennent pas au sérieux, ou n'en voient pas l’intérêt. On me dit "Isabelle, tu exagères…", voire "Tu es parano", même sur les bancs socialistes. Nous avons récemment essayé de recenser les élus qui se sentaient concernés, et nous n’avons trouvé que 10 - 12 députés, tous bords confondus. » Un constat amer partagé par Frédéric Couchet de l'APRIL, qui conclut :  « On a l’impression que, malgré tout ce qui est révélé, ils s’en foutent… » Des propos qui confortent ainsi l'objectif du hacker.

 

Médiapart, qui assure avoir vérifié la véracité du hack, explique avoir décidé de mettre en ligne cette information « qui est d'un intérêt public évident ». Les réactions ne devraient pas tarder. 

Commentaires (97)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

C’est désespérant <img data-src=" />

votre avatar

Prends toi ça dans les dents M$ <img data-src=" />



Et vive le libre ! <img data-src=" />



Espérons qu’après ça ils finiront par changer d’avis…

votre avatar



en exploitant une faille d’Exchange ActiveSync





Il s’agit de Exchange 2013 ?



Et sinon concernant le libre, y a-t-il une solution qui permette de remplacer toutes les fonctionnalités d’exchange ? Et je parle d’une solution, pas de plein de petites qu’on mélangent entres elles ^^


votre avatar

Ils avaient qu’à écouter une certaine personne et utiliser le pare-feu Open Office.

votre avatar

Et nombreux sont, parmi ces guignols ignares, ceux qui prétendent avec une suffisance abjecte, vouloir “civiliser” internet ! Les cons ! Les gros cons ! <img data-src=" />

votre avatar

Vive les prochaines élections a vote électronique pour faire changer les choses!

votre avatar

Il aurait pu en profiter pour trouver des dossiers et les lâcher sur la toile. <img data-src=" />

votre avatar







maestro321 a écrit :



Vive les prochaines élections a vote électronique pour faire changer les choses!







ha oiui ca va être marrant avoir 103% de votant avec les hack à distances <img data-src=" />


votre avatar







Anartux a écrit :



Et nombreux sont, parmi ces guignols ignares, ceux qui prétendent avec une suffisance abjecte, vouloir “civiliser” internet ! Les cons ! Les gros cons ! <img data-src=" />







Il dit qu’il ne voit pas le rapport.


votre avatar

Moi surtout ce qui me choque , c’est pas le fait qu’il y ait une faille MS …



Mais le fait que les députés qui traitent des dossiers délicats et privé

, aillent à la première borne wifi du coin , et qu’il n’y ait pas de sécurité sur leur portable pour se connecter uniquement à la borne du parlement de Strasbourg et être reconnu identifié , si encore fut il en avoir …

votre avatar







maestro321 a écrit :



Vive les prochaines élections a vote électronique pour faire changer les choses!





<img data-src=" />


votre avatar

Vu ce qu’il a fait, plutôt que “un hacker accède aisément”, je dirais plutôt : “des députés européens transmettent volontairement leur mot de passe à un hacker.” Quand ton ordinateur t’explique qu’il y a un risque et que tu lui dis que tu t’en fous, c’est un peu de ta faute.

votre avatar







Elwyns a écrit :



Mais le fait que les députés qui traitent des dossiers délicats et privé

, aillent à la première borne wifi du coin , et qu’il n’y ait pas de sécurité sur leur portable pour se connecter uniquement à la borne du parlement de Strasbourg et être reconnu identifié , si encore fut il en avoir …





Avec les bonnes technologies, ce n’est pas si insecure que ça, surtout quand on sait que la plupart vont garder leur pass sur un post-it collé à l’écran de leur bureau.


votre avatar

Un certains Louis aimerait bien que le hacker lui lise ses mails non lus, son stagiaire est parti avec le mot de passe.


votre avatar







TaigaIV a écrit :



Un certains Louis aimerait bien que le hacker lui lise ses mails non lus, son stagiaire est parti avec le mot de passe.





<img data-src=" />


votre avatar



On me dit “Isabelle, tu exagères…”, voire “Tu es parano”





La même réponse à ceux qui disent depuis longtemps qu’il y a des backdoors dans les produits Microsoft <img data-src=" />

votre avatar



Ça me pose un gros problème ça… Comment est-il possible de ne pas faire d’appel d’offre public, de ne pas faire de mise en concurrence ?!? En gros un acteur est déjà implanté, alors on reprend le même à chaque fois sans envisager autre chose ? Complètement crétin…





parce que tu crois qu’ils vont réécrire toutes leurs applications métier desktop et serveur tous les 3ans ?



bonjour le gâchis d’argent du contribuable si les politiciens votaient le passage à du full linux, puis 3ans plus tard vers du osx et du solaris, puis 3ans plus tard encore autre chose…



quand on a un parc applicatif existant sous Windows, à quoi bon faire un appel d’offre s’il n’y a pas de concurrent capable de maintenir la comptabilité avec les investissements existants?



ils doivent bien avoir des serveurs unix et oracle, et je doute qu’ils fassent des appels d’offre là dessus lorsqu’ils veulent juste pouvoir upgrader vers des versions plus récentes.



bizarrement ça choque personne dans ce sens là. Cela dit dans l’autre sens ça choque pas grand monde non plus, à part quelques nolifes qui sont en croisade contre MS et le capitalisme ;)





Dans ce cas là, c’est au protocole d’être clair sur la question (au passage, ActiveSync est bien un logiciel, le protocole c’est Exchange ActiveSync).





l’article parle d’activesync, sous entendu EAS (exchange activesync).

c’est évident qu’on ne parle pas du logiciel de synchro de Windows mobile 6 ^^



après que le protocole n’oblige pas le SSL n’est pas choquant. Pour des environnement de test et de debug ça peut être utile.



mais a partir du moment où une entreprise exige un certain niveau de sécurité, c’est emmerdant que les client mails autorisent l’utilisateur à ignorer les erreurs de certificat.

il aurait fallu que ce soit une option désactivée par défaut, cachée dans les options avancées pour éviter toute activation accidentelle.

votre avatar

Affligeant

votre avatar







coket a écrit :



Et? C’est acceptable pour toi?



Pour moi non.







En théorie, que ce soit pour les utilisateurs ou le service informatique, cette faille était soit inexistante, soit improbable. Sinon, il va de soi il me semble qu’ils l’auraient résolus. Donc le seul moyen de faire réagir, c’est de montrer qu’en pratique, elle existe.



Si tu empêches ces personnes de tester les systèmes de sécurité, tu empêches le système de s’améliorer. Les White Hats sont nécessaires.



Combien de gens malveillant l’on déjà exploité ? On ne peut le savoir. Mais dorénavant ce ne sera plus une technique d’espionnage valide.


votre avatar







jmanici a écrit :



l’article parle d’activesync, sous entendu EAS (exchange activesync).

c’est évident qu’on ne parle pas du logiciel de synchro de Windows mobile 6 ^^







C’était juste pour être sur que les choses soient claires suite à ton commentaire #25 qui stipulait l’inverse : si l’article - de numérama - sous-entend EAS, il n’était pas utile de préciser qu’ActiveSync n’était pas un logiciel. Bref, c’est un détail :)







jmanici a écrit :



après que le protocole n’oblige pas le SSL n’est pas choquant. Pour des environnement de test et de debug ça peut être utile.







On peut dire exactement la même chose de l’acception d’un certificat invalide.







jmanici a écrit :



mais a partir du moment où une entreprise exige un certain niveau de sécurité, c’est emmerdant que les client mails autorisent l’utilisateur à ignorer les erreurs de certificat.

il aurait fallu que ce soit une option désactivée par défaut, cachée dans les options avancées pour éviter toute activation accidentelle.







Oui. C’est pour cela que la spec devrait être claire en disant quelque chose comme (en mieux formulé) “en debug, on peut se passer de SSL. En prod, SSL est obligatoire et un certificat invalide doit clore immédiatement la connexion”. Je persiste à dire que les clients ne font que suivre une spec qui ne me semble pas précise (après une lecture de 30 lignes en 3 minutes ;)


votre avatar

La calamité Microsoft continue ses ravages.



Oùu comment, à coups de lobbying, comment imposer un système révolu, une passoire informatique.



Ça craint, et c’est désespérant. <img data-src=" />

votre avatar







Elwyns a écrit :



Effet raté pour ce “hacker” s’il voulait démonter les solutions Microsoft, le libre n’aurait pas pu faire mieux face à la bêtise des utilisateurs (nos députés…).





Une réussite en effet de la part de MS. <img data-src=" />



Moi je préconise qu’on change tout cela, et que nos impôts cessent d’alimenter les multinationales, après, eh bien on verra ! <img data-src=" />


votre avatar







TaigaIV a écrit :



Un certains Louis aimerait bien que le hacker lui lise ses mails non lus, son stagiaire est parti avec le mot de passe.





<img data-src=" />


votre avatar







jmanici a écrit :



parce que tu crois qu’ils vont réécrire toutes leurs applications métier desktop et serveur tous les 3ans ?



bonjour le gâchis d’argent du contribuable si les politiciens votaient le passage à du full linux, puis 3ans plus tard vers du osx et du solaris, puis 3ans plus tard encore autre chose…



quand on a un parc applicatif existant sous Windows, à quoi bon faire un appel d’offre s’il n’y a pas de concurrent capable de maintenir la comptabilité avec les investissements existants?



ils doivent bien avoir des serveurs unix et oracle, et je doute qu’ils fassent des appels d’offre là dessus lorsqu’ils veulent juste pouvoir upgrader vers des versions plus récentes.



bizarrement ça choque personne dans ce sens là. Cela dit dans l’autre sens ça choque pas grand monde non plus, à part quelques nolifes qui sont en croisade contre MS et le capitalisme ;)







Tu fais l’appel d’offres. point barre.

Après tu vois si l’éditeur répond avec une offre native, virtualisée ou en installant un second PC à chaque utilisateur et si le coût/ergonomie/intégration est le meilleur ou pas.


votre avatar



Je persiste à dire que les clients ne font que suivre une spec qui ne me semble pas précise (après une lecture de 30 lignes en 3 minutes ;)





en même temps c’est aussi aux devs qui implémentent les spécifications de faire preuve de bon sens.



je me souviens avoir lu il y a quelques années que si les navigateurs web appliquaient les spécifications HTML4 à la lettre, n’importe quel site pourrait provoquer l’upload de n’importe quel fichier via un input file, car le standard ne disait pas explicitement qu’on ne peut pas remplir le champ texte du contrôle input file via javascript.



heureusement, les développeurs de navigateurs web ont tous imposé cette restriction, bien que n’etant pas dictée par le standard.



je pense qu’on est dans un cas de figure similaire ici. Sauf que cette fois ci la restriction ne s’est pas (encore) imposée d’elle même…



cela dit, le fait de laisser l’utilisateur outrepasser l’avertissement de certificat invalide serait moins problématique si le message était effrayant (en rouge, avec un champ texte dans lequel il faut taper “Je comprend le risque” avant de pouvoir cliquer sur “continuer”). Tout ce joue dans la manière de présenter les choses. Un peu comme IE qui pose les questions à l’envers (genre “voulez vous ne pas charger le contenu non sécurisé?”), sachant que l’utilisateur lambda clique toujours sur oui.

votre avatar







paradise a écrit :



Une réussite en effet de la part de MS. <img data-src=" />



Moi je préconise qu’on change tout cela, et que nos impôts cessent d’alimenter les multinationales, après, eh bien on verra ! <img data-src=" />







Me souvenais pas avoir écrit ça moi <img data-src=" />


votre avatar



La calamité Microsoft continue ses ravages.



Oùu comment, à coups de lobbying, comment imposer un système révolu, une passoire informatique.



Ça craint, et c’est désespérant





désespérant en effet, les trolls qui se réjouissent d’avoir lu de fausses informations.



fais au moins l’effort de lire les commentaires avant de poster.

votre avatar







jmanici a écrit :



parce que tu crois qu’ils vont réécrire toutes leurs applications métier desktop et serveur tous les 3ans ?







S’ils doivent réécrire toutes leurs applications, cela prouve que le choix de windows a été une erreur dès le début. Maintenant, comme tu le dis, ils sont liés à microsoft.







jmanici a écrit :



bonjour le gâchis d’argent du contribuable si les politiciens votaient le passage à du full linux, puis 3ans plus tard vers du osx et du solaris, puis 3ans plus tard encore autre chose…





Et c’est pas du gachis d’investir des millions dans une boite privée non-européenne, alors qu’ils pourraient améliorer l’existant libre en faisant travailler nos ingénieurs européens ? Et que les résultats de ces améliorations profiteraient à toutes les entreprises ?







jmanici a écrit :



quand on a un parc applicatif existant sous Windows, à quoi bon faire un appel d’offre s’il n’y a pas de concurrent capable de maintenir la comptabilité avec les investissements existants?





Ils sont liés à microsoft maintenant, plus personne n’est capable ne maintenir la comptabilité (compatibilité ?). Echec.







jmanici a écrit :



ils doivent bien avoir des serveurs unix et oracle, et je doute qu’ils fassent des appels d’offre là dessus lorsqu’ils veulent juste pouvoir upgrader vers des versions plus récentes.





Ils devraient, je ne sais pas qu’elle est la situation à ce niveau.







jmanici a écrit :



bizarrement ça choque personne dans ce sens là. Cela dit dans l’autre sens ça choque pas grand monde non plus, à part quelques nolifes qui sont en croisade contre MS et le capitalisme ;)





Ce qui me choque, c’est que des gens qui pourtant ne se considèrent pas comme nolifes, donc certainement au courant des enjeux d’aujourd’hui et de demain, ne comprennent pas ce que nous font ces outils, qui nous utilisent à notre insu.


votre avatar







jmanici a écrit :



parce que tu crois qu’ils vont réécrire toutes leurs applications métier desktop et serveur tous les 3ans ?



bonjour le gâchis d’argent du contribuable si les politiciens votaient le passage à du full linux, puis 3ans plus tard vers du osx et du solaris, puis 3ans plus tard encore autre chose…



quand on a un parc applicatif existant sous Windows, à quoi bon faire un appel d’offre s’il n’y a pas de concurrent capable de maintenir la comptabilité avec les investissements existants?



ils doivent bien avoir des serveurs unix et oracle, et je doute qu’ils fassent des appels d’offre là dessus lorsqu’ils veulent juste pouvoir upgrader vers des versions plus récentes.



bizarrement ça choque personne dans ce sens là. Cela dit dans l’autre sens ça choque pas grand monde non plus, à part quelques nolifes qui sont en croisade contre MS et le capitalisme ;)





Oui je suis un nolife en croisade contre Microsoft, merci de relever le niveau de la conversation <img data-src=" />



Relis mon commentaire : ce que je trouve inacceptable c’est qu’il n’y ait pas d’appel d’offre. Oui, il y a des besoins particuliers, oui il y a des investissements qui ont déjà été faits, et ça doit être pris en compte. Il n’empêche qu’il doit y avoir un appel d’offre, c’est comme ça dans tous les marchés publics, et je ne comprends pas comment c’est possible que ça soit autrement.



Tiens un exemple : dans notre Université on a un cluster qui fonctionne sous Linux. Quand il est étendu, les nouveaux nœuds de calcul tournent forcément sous Linux sinon ça ne marche pas. Il n’y a pas 36 fournisseurs dans les environs, alors à quoi bon faire un appel d’offre ? Pourtant il y en a un de fait à chaque fois, systématiquement, ça fait partie de la procédure. Ça permet la transparence, ça permet à de nouveaux fournisseurs de s’insérer sur le marché, de se mettre en concurrence s’ils en ont l’opportunité. Bref ça me semble indispensable pour n’importe quel marché public.


votre avatar







neves a écrit :



Autant je trouve que c’est n’importe quoi de dire qu’il y a une faille dans Exchange, autant je trouve que c’est n’importe quoi de dire que c’est la faute du client. C’est un principe bien connu de remonter une alerte lorsqu’un certificat SSL n’est pas valide, c’est à l’utilisateur d’être formé pour savoir réagir en conséquence. PEBKAC ici, selon moi.









jmanici a écrit :



ça ne sert à rien au final d’implémenter des sécurités si on laisse la possibilité à des script kiddie de pousser l’utilisateur à effectuer une connexion non securisée.



c’est évident que l’utilisateur va accepter… Même un utilisateur confirmé se dira que c’est le service IT qui a dû laisser expirer le certif et acceptera d’ignorer le certif sans se soucier du risque potentiel.





Pour moi c’est au service informatique du parlement de configurer les équipements des employés/députés avec le certificat utilisé par le serveur Exchange du parlement et pour que la connexion soit refusée si le serveur ne présente pas celui là. En fait il faudrait même générer un certificat sur les équipements pour que le serveur puisse également authentifié le client.

Parce que là l’utilisateur a eu un avertissement à valider manuellement parce que le hacker dont il est question n’avait sans doute pas les moyens de forger un vrai faux certificat, mais s’il avait été valide et signé par une autorité de certification reconnue ? C’est à la porter d’un État, disons un qui n’hésite(rais) pas à espionner le Parlement Européen… Ou quelqu’un ayant corrompu une AC (rappelez vous l’histoire Comodo et compagnie il y a quelque temps…).

Donc au vu des informations dont je dispose, pour moi c’est le service informatique du parlement qu’il faut blâmer dans l’affaire…


votre avatar



Il n’y a pas 36 fournisseurs dans les environs, alors à quoi bon faire un appel d’offre ? Pourtant il y en a un de fait à chaque fois,





faire un appel d’offre en imposant comme condition que ce soit un OS compatible avec les applis Windows, c’est un peu comme faire une élection démocratique avec 1 seul candidat.



au final les libristes gueuleraient autant, et de l’argent et du temps auront été perdus pour rien avec un appel d’offre inutile. (wine non plus n’aurait pas été un candidat acceptable niveau compat).





S’ils doivent réécrire toutes leurs applications, cela prouve que le choix de windows a été une erreur dès le début. Maintenant, comme tu le dis, ils sont liés à microsoft.





parce que tu crois que si les applis avaient été écrite pour linux, un appel d’offre avec migration vers osx ou Android x86 sur desktop aurait conservé la compatibilité?

votre avatar







jmanici a écrit :



faire un appel d’offre en imposant comme condition que ce soit un OS compatible avec les applis Windows, c’est un peu comme faire une élection démocratique avec 1 seul candidat.





Insinuerais-tu que choisir Microsoft c’est comme être dans une dictature ? :-)



Donc pour toi, puisque que Microsoft a été choisi à un moment donné, on ne change rien, on reste chez eux ad vitam eternam ? Tu ne trouves pas que ça pose problème de NE PAS pouvoir changer de fournisseur ?!?…


votre avatar







DahoodG4 a écrit :



Ben quand tu regarde les bouzins ou usine a gaz que sont les produits microsoft,

c’est rien de plus que plein de petite solutions regroupées dans un binaire et des dll, donc a part la GUI, c’est quoi la différence ?







Ben déjà la facilité d’installation et de déploiement, pour avoir mis en prod un exchange 2013 c’est vraiment super simple et rapide.

J’ai pas trouvé (bon pas trop chercher non plus) une solution equivalente dans le libre.



Et pour ce qui de l’usine à gaz, je trouve au contraire exchange 2013 super light, et couplé à hyperV 2012 et le replica, c’est franchement un bonheur d’utiliser ces solutions :) (bon à part le prix peut être ;))



votre avatar

D’après l’article de Numerama :







(Mise à jour : en fait la technique consisterait à simuler un serveur Exchange sur le faux hotspot, auquel cas ActiveSync prévient que le serveur n’est pas celui attendu, et demande confirmation à l’utilisateur s’il souhaite tout de même s’y connecter… ce que beaucoup accepteraient. La responsabilité est donc partagée)





Donc en gros il s’agit d’un man-in-the-middle avec validation par l’utilisateur. Du coup n’importe quelle solution mail avec SSL aurait fait le meme warning, et si l’utilisateur click, il se fait avoir. Pour moi (avec les informations de Numerama), ce n’est pas du tout une vulnérabilité d’Exchange mais un problème de l’utilisateur (encore une fois).



Effet raté pour ce “hacker” s’il voulait démonter les solutions Microsoft, le libre n’aurait pas pu faire mieux face à la bêtise des utilisateurs (nos députés…).

votre avatar







MasterDav a écrit :



Avec les bonnes technologies, ce n’est pas si insecure que ça, surtout quand on sait que la plupart vont garder leur pass sur un post-it collé à l’écran de leur bureau.







ça n’empêche .. c’est l’une des premières choses, je sais pas tu traites de dossiers professionnel , tu vas pas te foutre sur la borne FreeWifi du clampin de l’immeuble enface alors que t’es sensé , enfin il devrait y avoir une borne dedié pour le parlement de Strasbourg .. comme je le dis , bande de branquignoles !





prenez moi , on va se faire plaisir de remettre ça en ordre à 500€ / h de maintenance <img data-src=" />


votre avatar

Ou au moins une cnx 3G sur chaque portable itinérant.

votre avatar

<img data-src=" /> Aaargh, mais que fait hadopi, vite il faut leur couper internet…<img data-src=" />



Plus une amende pour défaut de sécurisation dans la poire, non mais.<img data-src=" />

votre avatar







Elwyns a écrit :



Moi surtout ce qui me choque , c’est pas le fait qu’il y ait une faille MS …



Mais le fait que les députés qui traitent des dossiers délicats et privés

, aillent à la première borne wifi du coin , et qu’il n’y ait pas de sécurité sur leur portable pour se connecter uniquement à la borne du parlement de Strasbourg et être reconnu identifié , si encore fut il en avoir …





C’est une attaque Man In The Middle, le faux point d’accès du hackeur se faisait passer pour légitime (même essid, peut-être même bssid), après le smartphone des députés s’est connecté dessus automatiquement en pensant légitimement que c’était le bon.



Après, l’article manque de précisions techniques.

Quid d’un wifi sécurisé ? Le wifi piraté était donc non sécurisé avec éventuellement un simple portail captif ?



Très préoccupant vis-à-vis de la sécurité informatique du parlement européen.



Personne pour faire la blague de l’infraction hadopi de non sécurisation de wifi d’ailleurs ?



edit: ah si, cid_Dileezer_geek s’est dévoué


votre avatar







cid_Dileezer_geek a écrit :



<img data-src=" /> Aaargh, mais que fait hadopi, vite il faut leur couper internet…<img data-src=" />



Plus une amende pour défaut de sécurisation dans la poire, non mais.<img data-src=" />





*



je te signal que c’est “toi”/nous qui leur paie l’amende <img data-src=" />


votre avatar







Elwyns a écrit :



*



je te signal que c’est “toi”/nous qui leur paie l’amende <img data-src=" />









On leur paie aussi le dernier iPhone si le caprice leur vient de vouloir le dernier qui sort, sur simple appel ; plus les services particuliers et après vente à toute heure qui vont avec, c’est à dire hotline et forfait illimité que ce soit data, voix, et roaming. <img data-src=" />


votre avatar







neves a écrit :



D’après l’article de Numerama :





(Mise à jour : en fait la technique consisterait à simuler un serveur Exchange sur le faux hotspot, auquel cas ActiveSync prévient que le serveur n’est pas celui attendu, et demande confirmation à l’utilisateur s’il souhaite tout de même s’y connecter… ce que beaucoup accepteraient. La responsabilité est donc partagée)





Donc en gros il s’agit d’un man-in-the-middle avec validation par l’utilisateur. Du coup n’importe quelle solution mail avec SSL aurait fait le meme warning, et si l’utilisateur click, il se fait avoir. Pour moi (avec les informations de Numerama), ce n’est pas du tout une vulnérabilité d’Exchange mais un problème de l’utilisateur (encore une fois).



Effet raté pour ce “hacker” s’il voulait démonter les solutions Microsoft, le libre n’aurait pas pu faire mieux face à la bêtise des utilisateurs (nos députés…).







+1 C’est pas la première fois que PCI survole la technique … on commence à chercher le “ informatique ” de “ actualité informatique et high-tech “


votre avatar



D’après l’article de Numerama :



(Mise à jour : en fait la technique consisterait à simuler un serveur Exchange sur le faux hotspot, auquel cas ActiveSync prévient que le serveur n’est pas celui attendu, et demande confirmation à l’utilisateur s’il souhaite tout de même s’y connecter… ce que beaucoup accepteraient. La responsabilité est donc partagée)







ActiveSync n’est pas un logiciel, c’est juste le protocole de synchronisation.



la “faille” vient donc en réalité du client mail utilisé, certainement le client mail d’iOS ou android qui offre à l’utilisateur la possibilité de mettre à mal sa sécurité en acceptant de faire confiance à un certificat non valide.



la responsabilité n’est donc pas partagée avec active sync, mais partagée entre le client mail ios ou android (accepter un certif non valide n’aurait jamais dû être proposé à l’utilisateur) et l’utilisateur.



bref, Mediapart et ce script kiddie se font une joie de cracher sur MS. Et ce n’est pas la première fois que Mediapart sort des conneries sur MS. Bonjour la crédibilité.

en plus ils enchainent sur un speech anti MS à base de “ya des backdoors partout” qui n’a rien à voir avec l’objet de l’article.



probablement des journaleux qui ne trouvent rien à reprocher à l’imac à 2000€ qui trône sur leur bureau. Parce qu’Apple est trop cool pour se soumettre au patriot act probablement?





enfin, gros carton rouge à PCI qui reprend la fausse info selon laquelle il y a une faille dans Exchange sans réfléchir.

votre avatar







jmanici a écrit :



la “faille” vient donc en réalité du client mail utilisé, certainement le client mail d’iOS ou android qui offre à l’utilisateur la possibilité de mettre à mal sa sécurité en acceptant de faire confiance à un certificat non valide.







Je serais curieux de voir le comportement d’Outlook. Ou du client mail de Windows Phone :)







jmanici a écrit :



la responsabilité n’est donc pas partagée avec active sync, mais partagée entre le client mail ios ou android (accepter un certif non valide n’aurait jamais dû être proposé à l’utilisateur) et l’utilisateur.







Autant je trouve que c’est n’importe quoi de dire qu’il y a une faille dans Exchange, autant je trouve que c’est n’importe quoi de dire que c’est la faute du client. C’est un principe bien connu de remonter une alerte lorsqu’un certificat SSL n’est pas valide, c’est à l’utilisateur d’être formé pour savoir réagir en conséquence. PEBKAC ici, selon moi.


votre avatar



Autant je trouve que c’est n’importe quoi de dire qu’il y a une faille dans Exchange, autant je trouve que c’est n’importe quoi de dire que c’est la faute du client. C’est un principe bien connu de remonter une alerte lorsqu’un certificat SSL n’est pas valide, c’est à l’utilisateur d’être formé pour savoir réagir en conséquence. PEBKAC ici, selon moi.





pour le web ça me semble raisonnable de laisser l’utilisateur outrepasser l’avertissement de sécurité, car pas mal de sites légitimes présentent des erreurs de certificat.



mais pour un client mail (ou tout autre logiciel qui utilise des certificats), il ne faut pas laisser le choix à l’utilisateur. Il me semble qu’outlook laisse le choix, et c’est une mauvaise chose (au moins pour imap sur ssl, pour exchange je sais pas)



ça ne sert à rien au final d’implémenter des sécurités si on laisse la possibilité à des script kiddie de pousser l’utilisateur à effectuer une connexion non securisée.



c’est évident que l’utilisateur va accepter… Même un utilisateur confirmé se dira que c’est le service IT qui a dû laisser expirer le certif et acceptera d’ignorer le certif sans se soucier du risque potentiel.



bref, je blâme d’avantage les clients mails que les utilisateurs.

je peux pas blâmer l’utilisateur qui ne sait pas ce qu’est un certificat et qui appuie sur OK parce qu’il comprend pas la question et qu’il veut juste que ça marche parce qu’il a du boulot à faire.

votre avatar







jmanici a écrit :



ça ne sert à rien au final d’implémenter des sécurités si on laisse la possibilité à des script kiddie de pousser l’utilisateur à effectuer une connexion non securisée.







Dans ce cas là, c’est au protocole d’être clair sur la question (au passage, ActiveSync est bien un logiciel, le protocole c’est Exchange ActiveSync). Je ne connais pas le protocole mais je vois ici :



msdn.microsoft.com Microsoft



les phrases suivantes :





Command requests MUST be formatted as specified in section 2.2.1 and sent via HTTP. Secure Sockets Layer (SSL) SHOULD be enabled between the client and the server whenever the Authorization header (section 2.2.1.1.2.1) is sent.







It is recommended that communication between the client and server occur across an HTTP connection secured by the Secure Sockets Layer (SSL) protocol.





La spec précise donc qu’on n’est même pas obligé de passer en SSL. Je n’ai pas trouvé d’info sur le comportement qu’il faut avoir quand le certificat est invalide, mais je n’ai pas cherché beaucoup, c’est peut être précisé quelque part. Si tu veux vraiment blâmer quelqu’un ici, en dehors des utilisateurs, c’est le protocole, et non les clients qui l’implémentent (jusqu’à preuve qu’ils l’implémentent mal, bien sûr).


votre avatar



«Mais la Commission européenne a choisi de ne pas faire d’appel d’offres ni de procédure publique, en optant pour un marché négocié, qui l’autorise à négocier avec Microsoft pour l’achat des licences sans passer par un marché ni une mise en concurrence, donc sans que le Parlement européen et les citoyens aient leur mot à dire. »



Ça me pose un gros problème ça… Comment est-il possible de ne pas faire d’appel d’offre public, de ne pas faire de mise en concurrence ?!? En gros un acteur est déjà implanté, alors on reprend le même à chaque fois sans envisager autre chose ? Complètement crétin…

votre avatar









renaud07 a écrit :



Prends toi ça dans les dents M$ <img data-src=" />



Et vive le libre ! <img data-src=" />



Espérons qu’après ça ils finiront par changer d’avis…









Ce qui est désespérant, c’est que ce genre d’“exploit” (qui mérite la taule d’ailleurs) va être à l’origine une fois de plus d’un pas supplémentaire vers la suppression de nos droits sur internet!



Je trouve insensé de se réjouir de telles choses; le secret de la correspondance, c’est pas rien quand même. Quand c’est un gouvernement qui est pris la main dans le sac, on gueule, et à juste titre. Sous prétexte que c’est un hacker, on le fête et on s’en félicite, au nom du libre ou d’autre chose… <img data-src=" />


votre avatar







coket a écrit :



Ce qui est désespérant, c’est que ce genre d’“exploit” (qui mérite la taule d’ailleurs) va être à l’origine une fois de plus d’un pas supplémentaire vers la suppression de nos droits sur internet!



Je trouve insensé de se réjouir de telles choses; le secret de la correspondance, c’est pas rien quand même. Quand c’est un gouvernement qui est pris la main dans le sac, on gueule, et à juste titre. Sous prétexte que c’est un hacker, on le fête et on s’en félicite, au nom du libre ou d’autre chose… <img data-src=" />







Lis l’article, il ne s’intéresse pas à la correspondance elle-même, il démontre juste que la sécurité de celle-ci est douteuse. Il cherche à souligner les problèmes, pas à en créer…


votre avatar







Delqvs a écrit :



Lis l’article, il ne s’intéresse pas à la correspondance elle-même, il démontre juste que la sécurité de celle-ci est douteuse. Il cherche à souligner les problèmes, pas à en créer…







Et? C’est acceptable pour toi?



Pour moi non.


votre avatar

C’est ça, l’OpenData façon européenne <img data-src=" />

votre avatar







MasterDav a écrit :



<img data-src=" />





Vote… Par email? <img data-src=" />²


votre avatar

Personne ne parle de VPN, mais c’est bien ce qui me choque le plus dans cette histoire.



Comment est-il encore possible de mettre un Exchange (ou autre, c’est le même topo) accessible directement depuis le WEB? <img data-src=" />



Internet c’est pour les données publiques, le reste, c’est du VPN <img data-src=" />

votre avatar







Elwyns a écrit :



*



je te signal que c’est “toi”/nous qui leur paie l’amende <img data-src=" />







Difficile de marcher pendant que quelqu’un te fais les poches <img data-src=" />


votre avatar







maestro321 a écrit :



Vive les prochaines élections a vote électronique pour faire changer les choses!







Vu la fiabilité des machines électroniques ainsi que celle de nos politiques à tenir parole, ça va être bien drôle … <img data-src=" />


votre avatar

Pfff…

Super, on va avoir droit à de jolie troll contre MS….

Pour connaitre un petit peu Exchange, le pb est simplement localisé sur des client ActiveSync des iPhone et android qui ne bloque pas la connexion si le certificat n’est pas valide. Avec le client Window Phone la connexion est impossible et cela depuis Windows Mobile 6.1 au minimum… Et cela est CONNU !!!!!!

Donc oui, les députés ont ignoré l’alerte de sécurité comme le ferait dame Michu en accédant à sa banque via un mail de fishing…

Et OUI la DSI du parlement est également en tord en ne bloquant pas les smartphone qui n’ont pas un comportement correcte.

La responsabilités de MS dans cette affaire est NULLE !!!

Les administrateurs ont la possibilité de verouillé et LE DSI a surement refusé de bloqué les smartphone non compliance pour faire plaisir aux députés de connecter leur iPhone…

On ne le répètera jamais assez, des données confidentielles n’ont rien à faire sur un smartphone, point.

<img data-src=" />

Merci à pcinpact de corriger sa news afin d’être un peu plus explicite… <img data-src=" />

votre avatar



Mouahaha Android sécurisé? J’aurais un truc compromettant à dire, je ne le dirais pas à côté de mon téléphone





Android en lui même est sécurisé.



le problème c’est les maj de securité. Mais on peut tout a fait imaginer un fork Android sur x86 qui soit mis à jour régulièrement comme n’importe quelle distrib linux.



au final, ça laisserait à l’utilisateur la possibilité d’installer des logiciels tiers sans trop de risque car l’environnement est sandboxé.



comparé à un linux desktop ou à un Windows desktop (hors WP et WindowsRT), c’est plus sécurisé car même en ne donnant pas le mdp admin à l’utilisateur, il peut pourrir son compte avec des malwares tournant en mode utilisateur. Au final pour empêcher cela on est obligé de bloquer tous les logiciels non approuvés (sauf sur win8 entreprise avec applocker où on peut bloquer les applis win32 non approuvées et laisser l’utilisateur installer les applis WinRT qu’il veut sans risque)



avoir un OS où toutes les applis doivent être sandboxées permet de laisser du champ libre à l’utilisateur tout en ne sacrifiant pas sa sécurité.



bref, c’était du HS, mais c’était juste pour rappeler qu’aux mains d’un utilisateur lambda, un linux desktop présente plus de risques qu’un Android.

votre avatar

Mouais, en fait, en lisant des articles çà et là sur le net, le hacker n’a pas l’air de vouloir remettre en cause seulement le choix de MS, mais surtout le manque de sécurité du SI du parlement européen et le manque d’“éducation” sur le sujet des parlementaires.



Et, effectivement, il serait temps que les mentalités de nos chers (très chers, même) élus évoluent… ainsi que, probablement, celles des admins de leur SI qui se doivent, au minimum, et au-delà d’éduquer leurs utilisateurs, d’empêcher de telles connexions - y compris en imposant des téléphones sécurisés (genre Bull Hoox m2 ou autre) à la place des derniers gadgets à la mode pour les connexions au réseau interne…



Ceci dit, c’est vrai aussi pour 95% des entreprises, mais le problème est différent (il n’y a qu’elles qui en pâtissent ou leurs clients ou fournisseurs… c’est à dire déjà pas mal de monde…).

votre avatar







Aznox a écrit :



+1 C’est pas la première fois que PCI survole la technique … on commence à chercher le “ informatique ” de “ actualité informatique et high-tech ”





Non mais là c’est clairement pour taper sur MS pas pour faire de l’information technique.


votre avatar

Hm donc j’ai cherché cette “faille Exchange” en lisant l’article, je l’ai pas trouvé (y’en a pas, cf. ce com ou celui-ci).



J’en apprends plus dans les commentaires que dans la news, ça me fait peur, c’est rare chez PCI qu’on traite aussi mal l’info.

<img data-src=" />

votre avatar







eglyn a écrit :



“exploitant une faille d’Exchange ”



Il s’agit de Exchange 2013 ?



Et sinon concernant le libre, y a-t-il une solution qui permette de remplacer toutes les fonctionnalités d’exchange ? Et je parle d’une solution, pas de plein de petites qu’on mélangent entres elles ^^





Je ne vois pas ce teste dans l’article, aussi je ne vois pas dans cet article le rapport avec M\(....







renaud07 a écrit :



Prends toi ça dans les dents M\) <img data-src=" />



Et vive le libre ! <img data-src=" />



Espérons qu’après ça ils finiront par changer d’avis…





Ah, parce que les logiciels libres n’ont aucune faille???



Franchement, la seule chose qu’il a prouvé, c’est que c’est mal protégé. Microsoft n’est qu’un détail.



EDIT: news à troll! dredi, youpi^^


votre avatar

Nil, je sais que l’on est vendredi mais celui-ci est trop gros, passera pas <img data-src=" />



Au moins ca permet aux ayatollahs du libre et autres MS haters de se défouler sans comprendre que, sur ce coup, le niveau de responsabilité de MS est égale 0.

votre avatar







tybreizh a écrit :





<img data-src=" /> copain breton


votre avatar







dematbreizh a écrit :



<img data-src=" /> copain breton





<img data-src=" /> <img data-src=" /> <img data-src=" />


votre avatar

Idem que le commentaire précédent. J’ai eu plus d’infos dans les commentaires que par l’article.



Sinon ce qui me choque le plus c’est qu’il y ait pas d’appel d’offre….

votre avatar



Donc oui, les députés ont ignoré l’alerte de sécurité comme le ferait dame Michu en accédant à sa banque via un mail de fishing…

Et OUI la DSI du parlement est également en tord en ne bloquant pas les smartphone qui n’ont pas un comportement correcte.

La responsabilités de MS dans cette affaire est NULLE !!!

Les administrateurs ont la possibilité de verouillé et LE DSI a surement refusé de bloqué les smartphone non compliance pour faire plaisir aux députés de connecter leur iPhone…

On ne le répètera jamais assez, des données confidentielles n’ont rien à faire sur un smartphone, point.





Entièrement d’accord avec toi mais que veux tu, le bon sens en terme de sécurité ne pèse malheureusement pas bien lourd face aux modes genre BYOD et la pression des utilisateurs pour utiliser leur joujou au boulot. Sur un parc maîtrisé de bout en bout, tu peux de mémoire bloquer par GPO les certificats autosignés ou invalides, avec des applis diverses et variées, c’est plus difficile…

T’as beau le dire le répéter, tu passes pour un parano, voir un vieux schnok qui veut pas évoluer.

votre avatar







eglyn a écrit :



Il s’agit de Exchange 2013 ?



Et sinon concernant le libre, y a-t-il une solution qui permette de remplacer toutes les fonctionnalités d’exchange ? Et je parle d’une solution, pas de plein de petites qu’on mélangent entres elles ^^







Ben quand tu regarde les bouzins ou usine a gaz que sont les produits microsoft,

c’est rien de plus que plein de petite solutions regroupées dans un binaire et des dll, donc a part la GUI, c’est quoi la différence ?


votre avatar







maestro321 a écrit :



Vive les prochaines élections a vote électronique pour faire changer les choses!





<img data-src=" />


votre avatar







Soltek a écrit :



Hm donc j’ai cherché cette “faille Exchange” en lisant l’article, je l’ai pas trouvé (y’en a pas, cf. ce com ou celui-ci).



J’en apprends plus dans les commentaires que dans la news, ça me fait peur, c’est rare chez PCI qu’on traite aussi mal l’info.

<img data-src=" />



Lis mieux les commentaires et les sources avant de parler de mauvaise info <img data-src=" />.

Exchange autorise l’utilisateur à ignorer l’invalidité du certificat de sécurité présenté par le serveur de messagerie.


votre avatar







psn00ps a écrit :



Lis mieux les commentaires et les sources avant de parler de mauvaise info <img data-src=" />.

Exchange le client mail autorise l’utilisateur à ignorer l’invalidité du certificat de sécurité présenté par le serveur de messagerie.







<img data-src=" /> Merci de ne pas faire de la désinformation, il y en a eu suffisament je crois jusque là.


votre avatar







jmanici a écrit :



le probleme serait exactement le même avec un écosystème linux si suite à un appel d’offre une migration vers Android était envisagée (car plus sécurisé qu’un linux desktop)





On tourne en rond, et ces arguments sont d’une mauvaise foi criante. Lis-tu au moins mes messages ?



Faut-il que je le répète ? Faire le choix d’une distribution GNU/Linux, ça n’enferme pas chez un éditeur ni chez un fournisseur particulier. Linux n’appartient pas à UN éditeur, à UN SEUL acteur du marché. Linux peut être pris en charge par tout un tas d’entreprises, de Red Hat à des entreprises locales (en France ou en Europe). Si un appel d’offre est fait, c’est un vrai appel d’offre, qui met en concurrence ces entreprises. Les services qu’elles proposent peuvent être comparées, évaluées, les prix peuvent être tirés vers le bas. Si une migration vers une autre distrib est envisagée, elle peut être testée en interne avant déploiement puisque les logiciels seront en grande partie compatibles. Et si l’administration se rend compte que ça coûte moins cher d’avoir sa propre équipe de dev à temps plein pour développer ces outils, c’est possible aussi.



Alors évidemment que si une appli est développée pour GNU/Linux, elle ne pourra pas simplement être copiée/collée vers OS X ou vers Android. Mais ce n’est pas ça qui compte, il faut arrêter d’être de mauvaise foi. Ce qui compte c’est l’appel d’offre, le fait que plusieurs entreprises puissent être mises en concurrence.



Et c’est bien beau de dire que Windows convient. Comment savoir si autre chose conviendrait mieux, puisque justement rien n’a été testé et rien ne peut être testé ? Comment tester des applis Windows sur un autre OS ? C’est le serpent qui se mord la queue, et c’est justement le but de Microsoft : une fois enfermé chez eux c’est très difficile de migrer. Cela ne veut absolument pas dire qu’aucun autre système ne conviendrait.


votre avatar







psn00ps a écrit :



Lis mieux les commentaires et les sources avant de parler de mauvaise info <img data-src=" />.

Exchange autorise l’utilisateur à ignorer l’invalidité du certificat de sécurité présenté par le serveur de messagerie.





Déjà répondu par un copain breton, c’est le client mail et non Exchange.



Et quand bien même, avoir une notif qui te demande si tu veux bien envoyer tes identifiants à un serveur inconnu, j’appelle pas ça une faille de sécu, elle se situe au niveau de l’utilisateur, c’est à lui de faire attention (y’en a quand même 2 du service info et sécu du parlement européen qui s’y sont connectés quoi, paye tes branquignoles &gt;_&lt;).


votre avatar

Il a pas du trouver grand chose dans la BAL des deputés Européens puisqu’ils ne font rien. Ce sont les assistants qu’il faut espionner.


votre avatar







gwal a écrit :



Il a pas du trouver grand chose dans la BAL des deputés Européens puisqu’ils ne font rien. Ce sont les assistants qu’il faut espionner.







pu accéder aux courriels de six députés européens (dont trois Français), de divers assistants parlementaires et même de deux employés du service informatique et sécurité



<img data-src=" />



Et comme le dit la news, il s’en foutait des données.


votre avatar







paradise a écrit :



De quel certificat s’agit-il ? Je ne clique jamais “oui” sur un certificat quelconque, je ne tombe jamais sur ce genre de chose. Qui ou quoi demande le certificat, Exchange ?



C’est quoi cet Exchange qui, même après avoir cliqué oui par connerie OK, permet qu’on puisse accéder aux emails persos ???







Ce qui confirme que tu n’as pas compris le problème mais que tu te permets de dire que Exchange c’est tout pourri et qu’il faut changer tout ça :)



Non, c’est le client mail qui affiche le certificat et qui dit à l’utilisateur qu’il n’est pas valide. Dans l’attaque ici Exchange n’existe pas, on a un client mail sur un mobile, qui contacte un faux Exchange, avec un faux certificat. Exchange n’autorise pas à accéder aux emails perso après avoir cliqué sur OK, c’est le client mail qui envoie les mots de passe (sans doute en clair, dans le tunnel SSL mais dont l’attaquant possède la clé de déchiffrement) suite à la validation de l’utilisateur du faux certificat.


votre avatar

A lire ici les gens qui accablent Microsoft, je me dis que les gros “bobos du tout libre tout mignon” ont encore de beaux jours devant eux.



Et puis bon, un sniffer wifi, ça c’est du hack de PGM <img data-src=" />



Résumé de l’article ici : 4 ligne de technique, tout le reste pour dire que crosoft est un gros vilain.



Bref…

votre avatar







v1nce a écrit :



Tu fais l’appel d’offres. point barre.

Après tu vois si l’éditeur répond avec une offre native, virtualisée ou en installant un second PC à chaque utilisateur et si le coût/ergonomie/intégration est le meilleur ou pas.







Si c’était si simple à faire, ils le feraient,…. quand on parle par idéalisme, sans connaissance de cause, on dit des conneries,…


votre avatar







Fredhug01 a écrit :



Si c’était si simple à faire, ils le feraient,…. quand on parle par idéalisme, sans connaissance de cause, on dit des conneries,…





On peut avoir plus de détails ?


votre avatar







neves a écrit :



Ce qui confirme que tu n’as pas compris le problème mais que tu te permets de dire que Exchange c’est tout pourri et qu’il faut changer tout ça :)



Non, c’est le client mail qui affiche le certificat et qui dit à l’utilisateur qu’il n’est pas valide. Dans l’attaque ici Exchange n’existe pas, on a un client mail sur un mobile, qui contacte un faux Exchange, avec un faux certificat. Exchange n’autorise pas à accéder aux emails perso après avoir cliqué sur OK, c’est le client mail qui envoie les mots de passe (sans doute en clair, dans le tunnel SSL mais dont l’attaquant possède la clé de déchiffrement) suite à la validation de l’utilisateur du faux certificat.





OK, je comprends mieux. <img data-src=" />


votre avatar







Fredhug01 a écrit :



Si c’était si simple à faire, ils le feraient,…. quand on parle par idéalisme, sans connaissance de cause, on dit des conneries,…







Si légalement ils sont tenus de faire un appel d’offres, il le font et puis c’est tout.

Si leur environnement est dissuasif, il n’y aura que MS à candidater.

Mais qu’ils respectent les règles.

Chez nous si un éditeur veut déployer une solution serveur ils ont le choix entre du redhat ou du windows avec Oracle ou SQLServeur et on s’occupe des MAJ ou ils viennent avec leur solution complète avec contrat d’intervention sous x heures.

Et on a pas les moyens du Parlement…


votre avatar







gwal a écrit :



Il a pas du trouver grand chose dans la BAL des deputés Européens puisqu’ils ne font rien. Ce sont les assistants qu’il faut espionner.





<img data-src=" /> <img data-src=" />


votre avatar







gwal a écrit :



Il a pas du trouver grand chose dans la BAL des deputés Européens puisqu’ils ne font rien. Ce sont les assistants lobbyistes qu’il faut espionner.







<img data-src=" />

Fixed <img data-src=" />


votre avatar







jmanici a écrit :



parce que tu crois que si les applis avaient été écrite pour linux, un appel d’offre avec migration vers osx ou Android x86 sur desktop aurait conservé la compatibilité?





Mais c’est justement ça qui est beau : si l’appli est écrite pour GNU/Linux, elle n’est pas pour autant liée à une distribution ni à un seul fournisseur particulier… Il est possible de naviguer entre Red Hat, Open Suse, et plein d’autres, en fonction des coûts, des services proposés, etc.



Tandis que si l’appli est écrite pour Windows, il n’y a qu’un seul fournisseur possible : Microsoft, chez lequel tu te retrouves alors enfermé.



Alors en tant que particulier, peut-être que ça te convient, et chacun fait ce qu’il veut, mais quand il s’agit d’argent public et de marché public, c’est inacceptable d’être lié à un seul fournisseur sans pouvoir en changer. Ça empêche toute concurrence, et ça ne permet pas de savoir si un meilleur prix est disponible ailleurs (ce qui est le but même d’un appel d’offre).


votre avatar







coket a écrit :



Ce qui est désespérant, c’est que ce genre d’“exploit” (qui mérite la taule d’ailleurs) va être à l’origine une fois de plus d’un pas supplémentaire vers la suppression de nos droits sur internet!



Je trouve insensé de se réjouir de telles choses; le secret de la correspondance, c’est pas rien quand même. Quand c’est un gouvernement qui est pris la main dans le sac, on gueule, et à juste titre. Sous prétexte que c’est un hacker, on le fête et on s’en félicite, au nom du libre ou d’autre chose… <img data-src=" />





Il vaut mieux qu’on se félicite qu’un “white hac” mettent justement en lumière que nos élu ne sont pas assez sensibilisés sur la sécurité et prennent acte de ce fait pour y remédier. Ceux qui versent plus vers le coté sombre restent silencieux pour tirer parti de cet avantage.

Enfin tout ceci n’est qu’une vaste mascarade puisqu’ils préfèrent M$ et ses backdoors vers la NSA. <img data-src=" />


votre avatar







paradise a écrit :



Une réussite en effet de la part de MS. <img data-src=" />



Moi je préconise qu’on change tout cela, et que nos impôts cessent d’alimenter les multinationales, après, eh bien on verra ! <img data-src=" />







C’est marrant de voir que ce sont les même personnes qui critiquent des décisions en étant persuadées d’avoir la bonne et vraie seule solution et qui en même temps ne comprennent rien au problème et foncent tête baissée dès qu’elles croient que quelque chose va dans leur sens.



MS ou non-MS, ici, c’est la même chose : je te fais la même attaque avec un Thunderbird en IMAPS qui se connecte sur un dovecot sous un openbsd. Si l’utilisateur clique sur “oui je suis con, j’ai vu que le certificat n’était pas valide mais je veux quand même donner ma confiance à ce serveur bizarre”, c’est trop tard.


votre avatar







neves a écrit :



C’est marrant de voir que ce sont les même personnes qui critiquent des décisions en étant persuadées d’avoir la bonne et vraie seule solution et qui en même temps ne comprennent rien au problème et foncent tête baissée dès qu’elles croient que quelque chose va dans leur sens.



MS ou non-MS, ici, c’est la même chose : je te fais la même attaque avec un Thunderbird en IMAPS qui se connecte sur un dovecot sous un openbsd. Si l’utilisateur clique sur “oui je suis con, j’ai vu que le certificat n’était pas valide mais je veux quand même donner ma confiance à ce serveur bizarre”, c’est trop tard.





De quel certificat s’agit-il ? Je ne clique jamais “oui” sur un certificat quelconque, je ne tombe jamais sur ce genre de chose. Qui ou quoi demande le certificat, Exchange ?



C’est quoi cet Exchange qui, même après avoir cliqué oui par connerie OK, permet qu’on puisse accéder aux emails persos ???



votre avatar

De toute façon, c’est bien fait pour leurs tronches, puisque ça saoule les gens qu’on leur explique que non, un ordi ce n’est pas du “yaka”, que Windows a donné de mauvaises habitudes aux gens : compte admin par défaut, applis qui font tout et même plus…



Outlook avait aussi donné de mauvaises surprises plus d’une fois, mais bon, qu’importe, que tout continue ainsi, après tout, ce n’est pas faute d’avertir les gens.



Mme Michu, la principale intéressée de Microsoft, est aussi heureuse que le député en question, les AV sont activés, le pare-feu en béton armé est dressé comme un tempart de forteresse, ça roule. <img data-src=" />

votre avatar



Insinuerais-tu que choisir Microsoft c’est comme être dans une dictature ? :-)





le probleme serait exactement le même avec un écosystème linux si suite à un appel d’offre une migration vers Android était envisagée (car plus sécurisé qu’un linux desktop)



les applis linux desktop ne tournent pas sous Android.



et même si les applis sont codées en java, la transition entre différents OS nécessite des adaptations pour les applis non triviales.



bref, en informatique c’est évident que quand on fait le choix d’un environnement et qu’on investit dessus, on ne change pas facilement sans avoir de solides raisons de vouloir le faire.





Donc pour toi, puisque que Microsoft a été choisi à un moment donné, on ne change rien, on reste chez eux ad vitam eternam ? Tu ne trouves pas que ça pose problème de NE PAS pouvoir changer de fournisseur ?!?…





si une DSI décide d’abandonner Windows, elle peut le faire progressivement (virtualisation et remote desktop).

mais encore faut il avoir des raisons de vouloir quitter Windows, et un réel intérêt à vouloir passer à autre chose.



Un appel d’offre n’est pas un appel à bouleversements inutiles. Si une administration est satisfaite avec Windows, oracle, aix, c’est normal qu’elle ne fasse pas un appel d’offre ayant pour but de tout refaire son SI from scratch.

votre avatar







jmanici a écrit :



Un appel d’offre n’est pas un appel à bouleversements inutiles. Si une administration est satisfaite avec Windows, oracle, aix, c’est normal qu’elle ne fasse pas un appel d’offre ayant pour but de tout refaire son SI from scratch.







Sauf que le Parlement se doit de passer par un appel d’offre. Qu’ils veuillent changer de crèmerie ou pas. Dura lex sed lex





Conformément au règlement financier applicable au budget général de l’Union européenne, le Parlement européen est tenu de lancer des appels d’offres lors de l’acquisition de biens et de services.





Des mecs qui ne respectent même pas leur propre règlement… dans une institution qui a pour but de voter des textes que 28 pays seront tenus de respecter. On appréciera l’ironie de la chose


votre avatar



C’est quoi cet Exchange qui, même après avoir cliqué oui par connerie OK, permet qu’on puisse accéder aux emails persos ???





exchange est un logiciel qui tourne coté serveur.



exchange ne demande rien à l’utilisateur, et n’est nullement en cause dans cette attaque.



en l’occurrence, ce sont les smartphones des députés (probablement pas des Windows phones au passage) qui ont été attaqués.



en se connectant automatiquement au réseau wifi du hacker, et en tentant de synchroniser la boite mail, ce n’est pas le serveur exchange qui leur a répondu, mais un faux serveur tournant sur la machine du hacker. Le hacker a utilisé un certificat autogénéré pour répondre à la tentative de synchro du client mail du smartphone (qui exige une connection ssl)



le client mail du smartphone se rend compte que le certificat est bidon, et il demande à l’utilisateur s’il veut quand même envoyer ses identifiants à ce serveur dont le certificat est bidon.



l’utilisateur répond oui, et le hacker récupère les identifiants.



aucune faille n’a été exploitée, juste le fait que la plupart des clients mails autorisent les utilisateurs à se connecter quand même à un serveur mail même si le certificat n’est pas valide.



une telle attaque aurait été faisable de la même façon avec un serveur imap avec ssl actif.



exchange n’y est strictement pour rien. Et Windows n’intervient nullement là dedans.

votre avatar

D’autre part, en feuilletant le règlement de l’UE, on pourrait arguer que si marché public il y avait, MS serait disqualifié d’office; <img data-src=" />





Sont exclus de la participation aux procédures de passation de marchés les candidats ou les soumissionnaires si : (…)



b. eux-mêmes ou les personnes ayant sur eux le pouvoir de représentation, de décision ou de contrôle ont fait l’objet d’une condamnation prononcée par un jugement rendu par une autorité compétente d’un État membre ayant force de chose jugée pour tout délit affectant leur moralité professionnelle; (1)



(…)



d. ils n’ont pas respecté leurs obligations relatives au paiement des cotisations de sécurité sociale ou leurs obligations relatives au paiement de leurs impôts selon les dispositions légales du pays où ils sont établis ou celles du pays du pouvoir adjudicateur ou encore celles du pays où le marché doit s’exécuter (2)





(Page 52)



(1) La condamnation pour abus de position dominante dans l’histoire des navigateurs



(2) Les risques (ou c’est déjà fait ?) de redressement fiscal en France


votre avatar

ça jase beaucoup sur le fait de ne pas avoir fait d’appel d’offre.. mais avez-vous au moins de la quantité d’utilisateurs du parlement ?



Car en effet c’est pas une boite avec 200 Users hein … Le parlement c’est Strasbourg/Bruxelles/Luxembourg, on change pas tout un systeme comme ça d’un claquement de doigts.



A tous vous écouter il faudrait passer au libre partout et ça se fait tranquillou, derrière ça, y a les problèmes techniques qui vont y être liés, les plaintes utilisateurs qui ne vont plus rien comprendre au fonctionnement, sachant que déjà aujourd’hui c’est un boulot monstre de faire le support, et cela n’a rien à voir au fait que ce soit des députés/fonctionnaires, nous de notre côté sommes baignés la dedans donc pour nous tout parait logique, mais pensez à vos parent par exemple qui n’y comprennent rien non plus …



Evidemment que la faille sera toujours les utilisateurs et ça on y pourra jamais rien.



En fait autant les utilisateurs sont à coté de la plaque niveau technique, mais autant les “techniciens” adorateurs du “libre” le sont tout autant car ne comprenant strictement rien à la complexité et aux coûts de changement total d’un système info dans une boite d’une telle envergure.

votre avatar







abyssalguy a écrit :



Car en effet c’est pas une boite avec 200 Users hein … Le parlement c’est Strasbourg/Bruxelles/Luxembourg, on change pas tout un systeme comme ça d’un claquement de doigts.







On s’en tape. Le règlement dit : tu dois faire un appel d’offre, tu en fais un. Point.



Ne serait-ce que pour permettre un contrôle démocratique à posteriori (c’est nos impôts qui financent ce machin, on a un droit de regard). Parlement =/= entreprise privée


votre avatar







jmanici a écrit :



mais a partir du moment où une entreprise exige un certain niveau de sécurité, c’est emmerdant que les client mails autorisent l’utilisateur à ignorer les erreurs de certificat.

il aurait fallu que ce soit une option désactivée par défaut, cachée dans les options avancées pour éviter toute activation accidentelle.





On appelle ça par son vrai nom : une faille. Certains logiciels refusent tout net la connection si le certificat est erroné.


votre avatar







jmanici a écrit :



le probleme serait exactement le même avec un écosystème linux si suite à un appel d’offre une migration vers Android était envisagée (car plus sécurisé qu’un linux desktop)





Mouahaha Android sécurisé? J’aurais un truc compromettant à dire, je ne le dirais pas à côté de mon téléphone<img data-src=" />


votre avatar







renaud07 a écrit :



Prends toi ça dans les dents M$ <img data-src=" />



Et vive le libre ! <img data-src=" />



Espérons qu’après ça ils finiront par changer d’avis…







Ouep le libre, il n’y a que ça de vrai, quand on pense que la défense tourne aussi sous windoz ca fait bien marrer.


votre avatar







psn00ps a écrit :



Mouahaha Android sécurisé? J’aurais un truc compromettant à dire, je ne le dirais pas à côté de mon téléphone<img data-src=" />







+1 Il ne faut pas oublier que Android à été développé par Google …


votre avatar







Latios a écrit :



Donc au vu des informations dont je dispose, pour moi c’est le service informatique du parlement qu’il faut blâmer dans l’affaire…





Raté, ce n’est pas plus la faute à ce service informatique qu’a MS. C’est la faute aux députés qui ont exigé pouvoir lire leur mail sur leur iPhone, peu importe les mise en garde de leur service informatique sur les trous béants de sécurité que celà créerait.



Ici il n’est pas question de simples utilisateurs qui se ferait dicter quoique ce soit par un “PDG” ou par leur “DSI”, il s’agit de députés qui font ce qu’ils veulent y comprit le pire.



Le traitement de l’info par PCI ici est vraiment catastrophique… On touche le fond.


Un hacker accède aisément aux emails de députés européens

  • Les rapports avec Microsoft pointés du doigt

  • « Que faut-il penser de notre processus démocratique ? » 

Fermer