Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Bercy s’explique sur les failles des sites gouvernementaux

Défaillance

Bercy s'explique sur les failles des sites gouvernementaux

Le 07 septembre 2012 à 11h13

Mercredi, Le Canard Enchaîné révélait que d’importantes failles avaient été découvertes dans au moins une demi-douzaine de sites gouvernementaux (voir note article : D'importantes failles détectées sur des sites gouvernementaux). Le ministère de l’Économie vient de répondre à nos questions, apportant quelques précisions et démentis sur certaines informations du Canard.

ministère économie

 

Comme l’affirmait le Canard Enchaîné, c’est bien un problème de logiciel qui est à l’origine de ces failles. « Le 28 août dernier, en fin de matinée, une faille logicielle a été identifiée chez notre prestataire en charge de la maintenance et de l’hébergement des sites internet ministériels, dans l’application Drupal de gestion de ces sites », indique le ministère. Deux problèmes sont ainsi repérés : « la possibilité de récupérer les login des utilisateurs du back office à l’aide d’une syntaxe particulière » d’une part, et, d’autre part, « la page d’accueil du back office, avec les zones d’identification (login/password), était visible sur le front office ».

 

Il s’avère que le logiciel libre Drupal était bien utilisé dans une version 6.20 contenant des vulnérabilités. Ces dernières avaient pourtant été signalées et corrigées bien avant la détection de ces failles... Un patch correctif a d’ailleurs été appliqué par le prestataire du ministère « dans les deux heures » suivant l'identification des problèmes selon Bercy, qui précise que « les services de sécurité informatique n’ont détecté aucune trace d’intrusion durant la période ».

Le ministère relativise les conséquences des failles

Toutefois, contrairement au Canard Enchaîné, le ministère relativise les conséquences de telles failles : « si une personne mal intentionnée avait pu récupérer les logins des utilisateurs du back office, (en trouvant la syntaxe spécifique), elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau. Cette personne aurait donc été dans l’impossibilité d’acquérir les droits d’administrateurs et de modifier les contenus du site ». Pour le ministère, pas de doute : « En dépit de la faille identifiée, aucune prise de contrôle du site n’était donc possible et aucun contenu n’a pu être modifié par des personnes non habilitées ».

 

Par ailleurs, l’utilisation d’un mot de passe « password » pour accéder à la fonction d'administrateur d'un des sites (évoquée par le Canard) a été vivement démentie par Bercy. 

 

Le ministère précise enfin avoir « demandé à son prestataire de veiller à mieux sécuriser en continu les sites ministériels ».

Commentaires (56)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar



Le ministère précise enfin avoir « demandé à son prestataire de veiller à mieux sécuriser en continu les sites ministériels ».





Et un vrai contrat avec des clauses de SLA relatives aux mises à jours et correctifs ? <img data-src=" /> Je suppose que l’état paye un bras le service comme d’habitude.

votre avatar



Le ministère précise enfin avoir « demandé à son prestataire de veiller à mieux sécuriser en continu les sites ministériels ».





c’est un peu légers ce type de bourde je trouve pour un prestataire externe censé garantir la sécurité des sites de l’état…. pour un tel service on devrait blinder un max et vérifier continuellement…

votre avatar



Toutefois, contrairement au Canard Enchaîné, le ministère relativise les conséquences de telles failles : « si une personne mal intentionnée avait pu récupérer les logins des utilisateurs du back office, (en trouvant la syntaxe spécifique), elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau. Cette personne aurait donc été dans l’impossibilité d’acquérir les droits d’administrateurs et de modifier les contenus du site ». Pour le ministère, pas de doute : « En dépit de la faille identifiée, aucune prise de contrôle du site n’était donc possible et aucun contenu n’a pu être modifié par des personnes non habilitées »







c’est beau d’entendre les gens parler d’un sujet qu’ils ne maitrises pas…..


votre avatar

La date de sortie de drupal 6.20 : 15 décembre 2010 <img data-src=" />

Champion du monde.



EDIT : L’interpreteur de PCI n’aime pas les url contenant des crochets :o

http://drupal.org/node/3060/release?api_version[]=87

votre avatar



Il s’avère que le logiciel libre Drupal était bien utilisé dans une version 6.20 contenant des vulnérabilités. Ces dernières avaient pourtant été signalées et corrigées bien avant la détection de ces failles… Un patch correctif a d’ailleurs été appliqué par le prestataire du ministère « dans les deux heures », selon Bercy, qui précise que « les services de sécurité informatique n’ont détecté aucune trace d’intrusion durant la période ».



Je comprend pas très bien l’explication là.



Le presta a appliqué le patch corrigeant les vulnérabilités dans les deux heures après la publication de celui-ci. Et deux ans après, aucune montée de version de Drupal n’a été faite, et les vulnérabilités ont été exploitées malgré le patch <img data-src=" />



Et alors là, c’est le pompon :



« si une personne mal intentionnée avait pu récupérer les logins des utilisateurs du back office, (en trouvant la syntaxe spécifique), elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau. Cette personne aurait donc été dans l’impossibilité d’acquérir les droits d’administrateurs et de modifier les contenus du site ». Pour le ministère, pas de doute : « En dépit de la faille identifiée, aucune prise de contrôle du site n’était donc possible et aucun contenu n’a pu être modifié par des personnes non habilitées »





<img data-src=" />

votre avatar



includes/bootstrap.inc in Drupal 5.x before 5.12 and 6.x before 6.6, when the server is configured for “IP-based virtual hosts,” allows remote attackers to include and execute arbitrary files via the HTTP Host header.



http://www.cvedetails.com/vulnerability-list/…Drupal-6.2.html



Avec une trentaine d’autres vulnérabilités touchant Drupal 6.2, c’est bien pire que ce qu’ils essaient de nous faire croire.



si une personne mal intentionnée avait pu récupérer les logins des utilisateurs du back office, (en trouvant la syntaxe spécifique), elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau.



<img data-src=" />

A voir combien de secondes leur site tiendra contre une attaque par dictionnaire.

votre avatar







sirius35 a écrit :



c’est un peu légers ce type de bourde je trouve pour un prestataire externe censé garantir la sécurité des sites de l’état…. pour un tel service on devrait blinder un max et vérifier continuellement…





+1…

Il y en a, dès que le contrat est signé, on a l’impression que le service s’arrête là..


votre avatar



si une personne mal intentionnée avait pu récupérer les logins des utilisateurs du back office, (en trouvant la syntaxe spécifique), elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau.



“mode troll”

Comme le nuage de Tchernobyl qui a été stoppé à la frontière, nan tu passeras pas ! ! ! <img data-src=" />

“/mode troll”




votre avatar

Correction du post précédent

C’était pas la bonne version de Drupal. <img data-src=" />

votre avatar







yukon_42 a écrit :



c’est beau d’entendre les gens parler d’un sujet qu’ils ne maitrises pas…..







un peu comme toi et la conjugaison <img data-src=" />


votre avatar

Non rien :)

votre avatar







canard_jaune a écrit :



A voir combien de secondes leur site tiendra contre une attaque par dictionnaire.







C’est écrit dans la news d’hier <img data-src=" />



le mot de passe permettant d’accéder à la fonction d’administrateur d’un des sites était tout simplement « password »…



<img data-src=" />


votre avatar







ActionFighter a écrit :



Je comprend pas très bien l’explication là.



Le presta a appliqué le patch corrigeant les vulnérabilités dans les deux heures après la publication de celui-ci.







non.



Si je comprends bien ils ont appliqué le patch deux heures après qu’ils se soient rendus compte de l’intrusion … c’est à dire plusieurs mois après la sortie officielle du correctif.


votre avatar

ces blaireaux aux lieu d’avouer qu’il y a eu un impair et d’en profiter pour dénoncer leur contrat public (il doit bien y avoir une clause de responsabilité du prestataire…) il minimisent et mettent de la pommade… genre : “je vais bien tout va bien…” (sketch Dany Boon)



Il ne faut pas que nos administrations se voilent la face… bon sang c’est l’image de ces derniers qui est exposée, pas du prestataire (qui dans ce type de communication reste bien anonyme et tout bénef pour lui…).



A les écouter c’est limite de la faute du libre…



Ha au fait Messieurs c’est bien beau d’appliquer un patch (dans les 2h… mais les 2h d’il y a 2 ans ou dans les 2h 2ans plus tard ?)… encore faut-il vérifier qu’il remplisse bien les fonctions pour lequel il existe…. et vérifier quotidiennement que la protection existante remplisse toujours sa fonction première !! Ce n’est pas le site du boucher du coin quand même !!!

votre avatar







baldodo a écrit :



non.



Si je comprends bien ils ont appliqué le patch deux heures après qu’ils se soient rendus compte de l’intrusion … c’est à dire plusieurs mois après la sortie officielle du correctif.





:fixed:

c’est à dire plusieurs années après la sortie officielle du correctif.


votre avatar







baldodo a écrit :



non.



Si je comprends bien ils ont appliqué le patch deux heures après qu’ils se soient rendus compte de l’intrusion … c’est à dire plusieurs mois après la sortie officielle du correctif.





C’est mieux formulé maintenant. Le “suivant l’identification des problèmes” a été ajouté après mon commentaire.



En relisant, c’était plutôt évident, mais on est dredi <img data-src=" />


votre avatar

pour bien connaitre le sujet de la prestation avec l’Etat Français



mon seul commentaire c’est mort de rireeeeeeeeeeee <img data-src=" />

votre avatar

Dans un sujet moindre, entre les répertoires non cachés sur les sites gouvernementaux et les mises à jours Apache, il y a du boulot pendant 10 ans <img data-src=" />

votre avatar







Consultant a écrit :



pour bien connaitre le sujet de la prestation avec l’Etat Français



mon seul commentaire c’est mort de rireeeeeeeeeeee <img data-src=" />





Bah ce sont de bonnes vaches à lait comme on les aime dans le conseil quoi…..



C’est un peu terrifiant quand on voit la médiocrité hallucinante au niveau “Pilotage des prestations externalisées”, et le fait que ce soit nous qui les payions indirectement….<img data-src=" />


votre avatar







daroou a écrit :



un peu comme toi et la conjugaison <img data-src=" />







omg, +1


votre avatar







ArhK a écrit :



Bah ce sont de bonnes vaches à lait comme on les aime dans le conseil quoi…..







Salut Arhk,



Dans certains domaines justement non, le plus mauvais payeur de France ? l’état Français ! le plus mauvais en MOA ? l’état Français !

Ca apres pour te faire faire 15 000 réunions qui servent à rien des étude des comités des “j occupe mon temps en réunion” savent bien faire…



Un “truc” bien aussi, les fameux PAQ (plan d’assurance qualité) qui sont tres beau sur le papier mais qui sont jamais mis en place (et souvent pas par faute du prestataire..)





C’es<img data-src=" /><img data-src=" />t un peu terrifiant quand on voit la médiocrité hallucinante au niveau “Pilotage des prestations externalisées”, et le fait que ce soit nous qui les payions indirectement….<img data-src=" />





oui <img data-src=" />


votre avatar

j’ai arrêté de lire dés que j’ai vu php drupal… quand on cherche, on trouve..

votre avatar

j’ai arrêté de lire dés que j’ai vu php drupal… quand on cherche, on trouve..

votre avatar

Défaut de sécurisation, c’est Hadopi qui va être contente <img data-src=" />

votre avatar

“les services de sécurité informatique n’ont détecté aucune trace d’intrusion durant la période ”



Bah oui, c’est évident, une intrusion si elle est réussie ne doit pas se voir, ça coule de source <img data-src=" /> En d’autres termes, ce n’est pas parce que le service de sécurité n’a rien vu que personne n’est venu les visiter… CQFD

votre avatar







sylvebarbe a écrit :



“les services de sécurité informatique n’ont détecté aucune trace d’intrusion durant la période ”



Bah oui, c’est évident, une intrusion si elle est réussie ne doit pas se voir, ça coule de source <img data-src=" /> En d’autres termes, ce n’est pas parce que le service de sécurité n’a rien vu que personne n’est venu les visiter… CQFD





ça me rappelle un lycée où je bossais, il y avait un code à 4 chiffres pour accéder au réseau ‘normal’ (consultation de fichiers, éditions limitées de données etc…) tu prenais le même code et tu ajoutais R au bout, tu passais en root … :facepalm:


votre avatar

Et sinon la CNI next gen c’est pour quand ? <img data-src=" />

<img data-src=" />

votre avatar







doudawak a écrit :



omg, +1







<img data-src=" />



Ils n’ont pas mis en place une solution de pare-feu open office ?


votre avatar







nick_t a écrit :



Et sinon la CNI next gen c’est pour quand ? <img data-src=" />

<img data-src=" />





alors nous sommes ‘dredi 7/09/2012 …. disons hmmmm … jamais <img data-src=" />


votre avatar







ActionFighter a écrit :



C’est mieux formulé maintenant. Le “suivant l’identification des problèmes” a été ajouté après mon commentaire.





Oui, désolé de ne pas l’avoir signalé plus tôt dans les commentaires. Je voulais lever toute ambiguïté, et j’étais pris par le temps donc j’ai fait au plus pressé. Donc oui, tu avais bien lu :)


votre avatar

On ne pourrais pas avoir le nom du prestataire ? du moins savoir juste si ce n’est pas le plus grosse SSII française avec un pdg pistonné ? avec des contrat arrangé.

votre avatar







sscrit a écrit :



On ne pourrais pas avoir le nom du prestataire ? du moins savoir juste si ce n’est pas le plus grosse SSII française avec un pdg pistonné ? avec des contrat arrangé.





Toi, tu parles du pote de nos amis Portos et Aramis <img data-src=" />


votre avatar



elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau

Et le fameux mdp “password”, c’était pas chez eux?

votre avatar







Shulk a écrit :



“mode troll”

Comme le nuage de Tchernobyl qui a été stoppé à la frontière, nan tu passeras pas ! ! ! <img data-src=" />

“/mode troll”









Hem…



Ton login PCI est publique pour mémoire…



Faut arrêter un peu… des sites qui sont mis à jour à chaque maj de leur CMS c’est plutôt ça l’exception…



En l’occurrence les vulnérabilités étaient mineures et/ou inexploitables, le presta semble être le même pour les divers sites, ce qui tend à indiquer un spécialiste Drupal susceptible d’avoir des modules qui ne sont pas compatibles et/ou pas facilement migrables (fréquent dans le cas où on utilise un ou plusieurs module privé pour “patcher” les failles d’un CMS).



Il peut y avoir des contraintes de serveur (version de PHP par exemple) ou 1000 autres raisons de ne pas mettre à jour… L’introduction de bugs et/ou de vulnérabilités dans les nouvelles versions n’étant que l’une d’elle…


votre avatar







sscrit a écrit :



On ne pourrais pas avoir le nom du prestataire ? du moins savoir juste si ce n’est pas le plus grosse SSII française avec un pdg pistonné ? avec des contrat arrangé.







Bienvenu dans le monde merveilleux des web agency et des contrats publiques : presque tous les appels d’offres de mairie/site étatique/département sont plus ou moins magouillés (pdg du même courant qui reçoit les offres des autres participants, ou les critères d’attribution détaillés, etc…)


votre avatar







Xavier.B a écrit :



Oui, désolé de ne pas l’avoir signalé plus tôt dans les commentaires. Je voulais lever toute ambiguïté, et j’étais pris par le temps donc j’ai fait au plus pressé. Donc oui, tu avais bien lu :)





Pas de soucis <img data-src=" />



Je comprend que ça puisse être dur de retranscrire des explications foireuses <img data-src=" />



Merci pour ce travail journalistique <img data-src=" />


votre avatar







daroou a écrit :



un peu comme toi et la conjugaison <img data-src=" />









oui sauf que c’est de la lecture/écriture…. <img data-src=" />


votre avatar







yukon_42 a écrit :



oui sauf que c’est de la lecture/écriture…. <img data-src=" />





a moins que ça ne soit que de la lecture seule <img data-src=" />



————&gt;[ <img data-src=" /> ]


votre avatar







Consultant a écrit :



Salut Arhk,



Dans certains domaines justement non, le plus mauvais payeur de France ? l’état Français ! le plus mauvais en MOA ? l’état Français !

Ca apres pour te faire faire 15 000 réunions qui servent à rien des étude des comités des “j occupe mon temps en réunion” savent bien faire…



Un “truc” bien aussi, les fameux PAQ (plan d’assurance qualité) qui sont tres beau sur le papier mais qui sont jamais mis en place (et souvent pas par faute du prestataire..)







oui <img data-src=" />







Je pense que ça dépend de quelle organisme étatique on parle en effet.



Pour le coup des PAQ merdiques, c’est avant tout la faute du prestataire qui s’est branlé la nouille a s’engager sur tout un tas de mesures/modes opératoires qu’il n’est pas en mesure de respecter opérationnellement….



Après, si en interne personne ne recadre ni ne pilote le prestataire, faut pas s’étonner…



Quand je vois les clauses contractuelles et les modalités de calcul de pénalités dans les contrats sur lesquels je bosse, ya vraiment de quoi se pendre…<img data-src=" />


votre avatar







Yutani a écrit :



a moins que ça ne soit que de la lecture seule <img data-src=" />



————&gt;[ <img data-src=" /> ]











un petit chmod et c’est bon <img data-src=" />


votre avatar







ArhK a écrit :



Quand je vois les clauses contractuelles et les modalités de calcul de pénalités dans les contrats sur lesquels je bosse, ya vraiment de quoi se pendre…<img data-src=" />







y a des sociétés qui paient les pénalités ? si elles sont même pas capable d’avoir un directeur qui soit de la même promo que son alter ego de l’organisme public c’est bien fait pour elles <img data-src=" /> (humour caricatural noir)


votre avatar







ArhK a écrit :



Je pense que ça dépend de quelle organisme étatique on parle en effet.



Pour le coup des PAQ merdiques….





C’est aussi valable dans le privé, je suis consultant dans les boites de pharma en bioprocess (donc un sujet très sensible : vaccins, anticancereux parentéraux, insuline, etc…), et les PAQP foireux, la réunionite à outrance, les glandus aux postes de décision, les jean-foutre, les contrats vérolés, les failles de sécurité béantes, les sous-trainants qui font n’imp, etc. tout ca ca existe aussi dans mon milieu, et dans bien d’autres du privé..



Mes anciennes boites bossaient aussi pour le nucléaire (super sensible, donc), la chimie fine, la chimie lourde, et l’armement : on y trouve exactement les mêmes merdes.



L’Etat en tant que “société”, c’est ni pire ni meilleur que le privé. Y’a du bon et du mauvais dans les deux, et souvent le même mauvais, d’ailleurs.


votre avatar







yukon_42 a écrit :



un petit chmod et c’est bon <img data-src=" />





pour beaucoup cette commande ressemble a extraire Excalibur du rocher <img data-src=" />

(moi y compris, vu mon niveau en ligne de commande)


votre avatar







Yutani a écrit :



pour beaucoup cette commande ressemble a extraire Excalibur du rocher <img data-src=" />

(moi y compris, vu mon niveau en ligne de commande)





c’est un bête changement de permission d’accès (lecture/écriture/execution)

Le chroot est plus complexe à piger… mais chmod… <img data-src=" />


votre avatar

“dormez tranquille, nous sommes des gens sérieux et nos choix sont toujours les meilleurs…”

votre avatar



« si une personne mal intentionnée avait pu récupérer les logins des utilisateurs du back office, (en trouvant la syntaxe spécifique), elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau »



Sauf que si via une syntaxe spécifique quelqu’un arrive à obtenir les logins, il devrait aussi arriver à obtenir les mots de passe…

votre avatar







Fuinril a écrit :



Hem…



Ton login PCI est publique pour mémoire…











Sharkiller a écrit :



Sauf que si via une syntaxe spécifique quelqu’un arrive à obtenir les logins, il devrait aussi arriver à obtenir les mots de passe…







Un login (identifiant en français) est généralement constitué d’un pseudo (nom d’utilisateur) et d’un password (mot de passe)…


votre avatar







Mihashi a écrit :



Un login (identifiant en français) est généralement constitué d’un pseudo (nom d’utilisateur) et d’un password (mot de passe)…





Il me semblaient que les sites qui te demandent ton “login” parlent de ton nom d’utilisateur.

En tout cas, on lit clairement que le ministre parle de “login” pour dire “nom d’utilisateur”, donc c’est surtout en référence à son texte.


votre avatar







Mihashi a écrit :



Un login (identifiant en français) est généralement constitué d’un pseudo (nom d’utilisateur) et d’un password (mot de passe)…







Non.



Un login (ou identifiant si tu veux) c’est une chaîne de caractères. Sur certains sites c’est les pseudos, sur d’autres les mails, sur d’autres des chaines de caractères uniques…. c’est très variable. C’est pour ça qu’on parle de couple login/password.







Sharkiller a écrit :



Sauf que si via une syntaxe spécifique quelqu’un arrive à obtenir les logins, il devrait aussi arriver à obtenir les mots de passe…







<img data-src=" />



ah bon ? Bon petite explication de la “syntaxe” : tu essayes de te connecter avec un login et un mot de passe. Le login n’existe pas tu as un message qui te dit “votre identifiant ou votre mot de passe est incorrect”, si il existe tu en as un autre du type “votre mot de passe est incorrect”. Tu crois vraiment qu’il y a une page dans l’admin de Drupal qui liste les membres du groupe admin accessible en publique ?<img data-src=" />



C’est peut être pas le meilleur CMS php, d’ailleurs je ne l’aime pas, mais faut pas déconner, Drupal c’est quand même un CMS très sérieux <img data-src=" />


votre avatar







Fuinril a écrit :



Non.



Un login (ou identifiant si tu veux) c’est une chaîne de caractères. Sur certains sites c’est les pseudos, sur d’autres les mails, sur d’autres des chaines de caractères uniques…. c’est très variable. C’est pour ça qu’on parle de couple login/password.





<img data-src=" />

Wikipédia :

En informatique, on appelle identifiants les informations permettant à une personne de s’identifier auprès d’un système. Il s’agit le plus souvent des informations suivantes : un nom d’utilisateur et un mot de passe.

For systems where a user must type in a username and password the username and password combination is their login.


votre avatar







Sharkiller a écrit :



Sauf que si via une syntaxe spécifique quelqu’un arrive à obtenir les logins, il devrait aussi arriver à obtenir les mots de passe…





Non ça n’a rien à voir car les logins sont en clair alors que les mots de passe sont censés être chiffrés. Tout ce que tu obtiendras, c’est le hash du mot de passe.



votre avatar

“Tout va très bien, Madame la Marquise…..”



<img data-src=" />



<img data-src=" />



<img data-src=" />

votre avatar







CryoGen a écrit :



Et un vrai contrat avec des clauses de SLA relatives aux mises à jours et correctifs ? <img data-src=" /> Je suppose que l’état paye un bras le service comme d’habitude.





Malheureusement non. Il pense souvent que logiciel libre c’est un logiciel gratuit et donc il paie que dalle.

Il n’y a que les logiciels proprio qui bénéficient d’une maintenance à des prix exorbitants.



De plus pour un ministère il n’y a pas un budget global pour leur services informatiques.


votre avatar







Fuinril a écrit :



Non.



Un login (ou identifiant si tu veux) c’est une chaîne de caractères. Sur certains sites c’est les pseudos, sur d’autres les mails, sur d’autres des chaines de caractères uniques…. c’est très variable. C’est pour ça qu’on parle de couple login/password.







C’était ce qu’il me semblait aussi, mais j’ai regardé la définition de “login”, et il apparaît que c’est bien la combinaison identifiant/mot de passe.



the term login is a noun and refers to the credentials required to obtain access

(Wikipedia)









Fuinril a écrit :



ah bon ? Bon petite explication de la “syntaxe” : tu essayes de te connecter avec un login et un mot de passe. Le login n’existe pas tu as un message qui te dit “votre identifiant ou votre mot de passe est incorrect”, si il existe tu en as un autre du type “votre mot de passe est incorrect”. Tu crois vraiment qu’il y a une page dans l’admin de Drupal qui liste les membres du groupe admin accessible en publique ?<img data-src=" />







Justement, oui, il me semble que quand tu te connectes à l’interface d’administration tu peux voir la liste des utilisateurs, ainsi que leur type d’accès.

Mais pour la “syntaxe spécifique”, je pensais à une méthode permettant d’exploiter une faille (genre par injection SQL) pour avoir accès aux logins. Donc même chose pour les mots de passe.







TheSamFrom1984 a écrit :



Non ça n’a rien à voir car les logins sont en clair alors que les mots de passe sont censés être chiffrés. Tout ce que tu obtiendras, c’est le hash du mot de passe.





Dépendant de la méthode de hashage utilisée, avec les rainbow tables ça pourrait ne pas être trop un problème.





Enfin, je suis pas spécialiste en sécurité, loin de là. La théorie, c’est toujours plus beau. <img data-src=" />


votre avatar







Fuinril a écrit :





ah bon ? Bon petite explication de la “syntaxe” : tu essayes de te connecter avec un login et un mot de passe. Le login n’existe pas tu as un message qui te dit “votre identifiant ou votre mot de passe est incorrect”, si il existe tu en as un autre du type “votre mot de passe est incorrect”. Tu crois vraiment qu’il y a une page dans l’admin de Drupal qui liste les membres du groupe admin accessible en publique ?<img data-src=" />









Déjà ça c’est pas bien.

En cas d’échec de connexion, un système dont le message d’erreur varie donne une information qui peut être utilisée à des fins malveillantes.


votre avatar







levhieu a écrit :



Déjà ça c’est pas bien.

En cas d’échec de connexion, un système dont le message d’erreur varie donne une information qui peut être utilisée à des fins malveillantes.







Qui a dit que c’était bien ? C’est une vulnérabilité mineure, tellement mineure que beaucoup de services font le choix de laisser le nom d’utilisateur publique, mais ça n’en est pas moins une vulnérabilité.



De là à insulter la boîte qui s’occupe de la maintenance des sites pour ne pas avoir patché cette vulnérabilité (et non faille) en ne sachant absolument pas ce que cela pouvait entrainer en terme de charge de travail (et donc de coût, au final ce sont toujours nos impôts qui payent) il y a un monde…


Bercy s’explique sur les failles des sites gouvernementaux

  • Le ministère relativise les conséquences des failles

Fermer