Bercy s'explique sur les failles des sites gouvernementaux

Bercy s’explique sur les failles des sites gouvernementaux

Défaillance

Avatar de l'auteur

Xavier Berne

Publié dansLogiciel

07/09/2012
56
Bercy s'explique sur les failles des sites gouvernementaux

Mercredi, Le Canard Enchaîné révélait que d’importantes failles avaient été découvertes dans au moins une demi-douzaine de sites gouvernementaux (voir note article : D'importantes failles détectées sur des sites gouvernementaux). Le ministère de l’Économie vient de répondre à nos questions, apportant quelques précisions et démentis sur certaines informations du Canard.

ministère économie

 

Comme l’affirmait le Canard Enchaîné, c’est bien un problème de logiciel qui est à l’origine de ces failles. « Le 28 août dernier, en fin de matinée, une faille logicielle a été identifiée chez notre prestataire en charge de la maintenance et de l’hébergement des sites internet ministériels, dans l’application Drupal de gestion de ces sites », indique le ministère. Deux problèmes sont ainsi repérés : « la possibilité de récupérer les login des utilisateurs du back office à l’aide d’une syntaxe particulière » d’une part, et, d’autre part, « la page d’accueil du back office, avec les zones d’identification (login/password), était visible sur le front office ».

 

Il s’avère que le logiciel libre Drupal était bien utilisé dans une version 6.20 contenant des vulnérabilités. Ces dernières avaient pourtant été signalées et corrigées bien avant la détection de ces failles... Un patch correctif a d’ailleurs été appliqué par le prestataire du ministère « dans les deux heures » suivant l'identification des problèmes selon Bercy, qui précise que « les services de sécurité informatique n’ont détecté aucune trace d’intrusion durant la période ».

Le ministère relativise les conséquences des failles

Toutefois, contrairement au Canard Enchaîné, le ministère relativise les conséquences de telles failles : « si une personne mal intentionnée avait pu récupérer les logins des utilisateurs du back office, (en trouvant la syntaxe spécifique), elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau. Cette personne aurait donc été dans l’impossibilité d’acquérir les droits d’administrateurs et de modifier les contenus du site ». Pour le ministère, pas de doute : « En dépit de la faille identifiée, aucune prise de contrôle du site n’était donc possible et aucun contenu n’a pu être modifié par des personnes non habilitées ».

 

Par ailleurs, l’utilisation d’un mot de passe « password » pour accéder à la fonction d'administrateur d'un des sites (évoquée par le Canard) a été vivement démentie par Bercy. 

 

Le ministère précise enfin avoir « demandé à son prestataire de veiller à mieux sécuriser en continu les sites ministériels ».

56
Avatar de l'auteur

Écrit par Xavier Berne

Tiens, en parlant de ça :

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Et bonne nuit les petits

00:04 Next 2
dessin de Flock

#Flock distribue des mandales tous azimuts

13:40 Flock 11
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

11:47 Next 27

Sommaire de l'article

Introduction

Le ministère relativise les conséquences des failles

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Next 2
dessin de Flock

#Flock distribue des mandales tous azimuts

Flock 11
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

Next 27
Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Hard 18

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

IA 6
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

Soft 32
Une petite fille en train d'apprendre à programmer et hacker logiciels et appareils électroniques

Un roman graphique explique les logiciels libres aux enfants

SoftSociété 20
Nouveautés pour Messenger

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

Socials 5

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 21
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 9
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 17

En ligne, les promos foireuses restent d’actualité

DroitWeb 19

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS
Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 29
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 10
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 6
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 75

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC
KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 23
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement
Poing Dev

Le poing Dev – Round 7

Next 102
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 7

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair
next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (56)


CryoGen Abonné
Le 07/09/2012 à 11h25


Le ministère précise enfin avoir « demandé à son prestataire de veiller à mieux sécuriser en continu les sites ministériels ».


Et un vrai contrat avec des clauses de SLA relatives aux mises à jours et correctifs ? <img data-src=" /> Je suppose que l’état paye un bras le service comme d’habitude.


sirius35
Le 07/09/2012 à 11h25


Le ministère précise enfin avoir « demandé à son prestataire de veiller à mieux sécuriser en continu les sites ministériels ».


c’est un peu légers ce type de bourde je trouve pour un prestataire externe censé garantir la sécurité des sites de l’état…. pour un tel service on devrait blinder un max et vérifier continuellement…


anonyme_60aeeb9ee17a60482c7144ba44f6c818
Le 07/09/2012 à 11h26


Toutefois, contrairement au Canard Enchaîné, le ministère relativise les conséquences de telles failles : « si une personne mal intentionnée avait pu récupérer les logins des utilisateurs du back office, (en trouvant la syntaxe spécifique), elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau. Cette personne aurait donc été dans l’impossibilité d’acquérir les droits d’administrateurs et de modifier les contenus du site ». Pour le ministère, pas de doute : « En dépit de la faille identifiée, aucune prise de contrôle du site n’était donc possible et aucun contenu n’a pu être modifié par des personnes non habilitées »



c’est beau d’entendre les gens parler d’un sujet qu’ils ne maitrises pas…..


CryoGen Abonné
Le 07/09/2012 à 11h29

La date de sortie de drupal 6.20 : 15 décembre 2010 <img data-src=" />
Champion du monde.

EDIT : L’interpreteur de PCI n’aime pas les url contenant des crochets :o
http://drupal.org/node/3060/release?api_version[]=87


anonyme_751eb151a3e6ce065481d43bf0d18298
Le 07/09/2012 à 11h32


Il s’avère que le logiciel libre Drupal était bien utilisé dans une version 6.20 contenant des vulnérabilités. Ces dernières avaient pourtant été signalées et corrigées bien avant la détection de ces failles… Un patch correctif a d’ailleurs été appliqué par le prestataire du ministère « dans les deux heures », selon Bercy, qui précise que « les services de sécurité informatique n’ont détecté aucune trace d’intrusion durant la période ».

Je comprend pas très bien l’explication là.

Le presta a appliqué le patch corrigeant les vulnérabilités dans les deux heures après la publication de celui-ci. Et deux ans après, aucune montée de version de Drupal n’a été faite, et les vulnérabilités ont été exploitées malgré le patch <img data-src=" />

Et alors là, c’est le pompon :

« si une personne mal intentionnée avait pu récupérer les logins des utilisateurs du back office, (en trouvant la syntaxe spécifique), elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau. Cette personne aurait donc été dans l’impossibilité d’acquérir les droits d’administrateurs et de modifier les contenus du site ». Pour le ministère, pas de doute : « En dépit de la faille identifiée, aucune prise de contrôle du site n’était donc possible et aucun contenu n’a pu être modifié par des personnes non habilitées »


<img data-src=" />


canard_jaune
Le 07/09/2012 à 11h42


includes/bootstrap.inc in Drupal 5.x before 5.12 and 6.x before 6.6, when the server is configured for “IP-based virtual hosts,” allows remote attackers to include and execute arbitrary files via the HTTP Host header.

http://www.cvedetails.com/vulnerability-list/…Drupal-6.2.html

Avec une trentaine d’autres vulnérabilités touchant Drupal 6.2, c’est bien pire que ce qu’ils essaient de nous faire croire.

si une personne mal intentionnée avait pu récupérer les logins des utilisateurs du back office, (en trouvant la syntaxe spécifique), elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau.

<img data-src=" />
A voir combien de secondes leur site tiendra contre une attaque par dictionnaire.


tAran
Le 07/09/2012 à 11h49






sirius35 a écrit :

c’est un peu légers ce type de bourde je trouve pour un prestataire externe censé garantir la sécurité des sites de l’état…. pour un tel service on devrait blinder un max et vérifier continuellement…


+1…
Il y en a, dès que le contrat est signé, on a l’impression que le service s’arrête là..



Shulk
Le 07/09/2012 à 11h51


si une personne mal intentionnée avait pu récupérer les logins des utilisateurs du back office, (en trouvant la syntaxe spécifique), elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau.

“mode troll”
Comme le nuage de Tchernobyl qui a été stoppé à la frontière, nan tu passeras pas ! ! ! <img data-src=" />
“/mode troll”



canard_jaune
Le 07/09/2012 à 11h53

Correction du post précédent
C’était pas la bonne version de Drupal. <img data-src=" />


anonyme_95bde7ad91b4483068f10094cf1c28ca
Le 07/09/2012 à 12h00






yukon_42 a écrit :

c’est beau d’entendre les gens parler d’un sujet qu’ils ne maitrises pas…..



un peu comme toi et la conjugaison <img data-src=" />



Florent_ATo
Le 07/09/2012 à 12h07

Non rien :)


molybdène Abonné
Le 07/09/2012 à 12h12






canard_jaune a écrit :

A voir combien de secondes leur site tiendra contre une attaque par dictionnaire.



C’est écrit dans la news d’hier <img data-src=" />

le mot de passe permettant d’accéder à la fonction d’administrateur d’un des sites était tout simplement « password »…

<img data-src=" />



baldodo
Le 07/09/2012 à 12h25






ActionFighter a écrit :

Je comprend pas très bien l’explication là.

Le presta a appliqué le patch corrigeant les vulnérabilités dans les deux heures après la publication de celui-ci.



non.

Si je comprends bien ils ont appliqué le patch deux heures après qu’ils se soient rendus compte de l’intrusion … c’est à dire plusieurs mois après la sortie officielle du correctif.



sirius35
Le 07/09/2012 à 12h30

ces blaireaux aux lieu d’avouer qu’il y a eu un impair et d’en profiter pour dénoncer leur contrat public (il doit bien y avoir une clause de responsabilité du prestataire…) il minimisent et mettent de la pommade… genre : “je vais bien tout va bien…” (sketch Dany Boon)

Il ne faut pas que nos administrations se voilent la face… bon sang c’est l’image de ces derniers qui est exposée, pas du prestataire (qui dans ce type de communication reste bien anonyme et tout bénef pour lui…).

A les écouter c’est limite de la faute du libre…

Ha au fait Messieurs c’est bien beau d’appliquer un patch (dans les 2h… mais les 2h d’il y a 2 ans ou dans les 2h 2ans plus tard ?)… encore faut-il vérifier qu’il remplisse bien les fonctions pour lequel il existe…. et vérifier quotidiennement que la protection existante remplisse toujours sa fonction première !! Ce n’est pas le site du boucher du coin quand même !!!


psn00ps Abonné
Le 07/09/2012 à 12h34






baldodo a écrit :

non.

Si je comprends bien ils ont appliqué le patch deux heures après qu’ils se soient rendus compte de l’intrusion … c’est à dire plusieurs mois après la sortie officielle du correctif.


:fixed:
c’est à dire plusieurs années après la sortie officielle du correctif.



anonyme_751eb151a3e6ce065481d43bf0d18298
Le 07/09/2012 à 12h35






baldodo a écrit :

non.

Si je comprends bien ils ont appliqué le patch deux heures après qu’ils se soient rendus compte de l’intrusion … c’est à dire plusieurs mois après la sortie officielle du correctif.


C’est mieux formulé maintenant. Le “suivant l’identification des problèmes” a été ajouté après mon commentaire.

En relisant, c’était plutôt évident, mais on est dredi <img data-src=" />



Consultant
Le 07/09/2012 à 12h36

pour bien connaitre le sujet de la prestation avec l’Etat Français

mon seul commentaire c’est mort de rireeeeeeeeeeee <img data-src=" />


tAran
Le 07/09/2012 à 12h37

Dans un sujet moindre, entre les répertoires non cachés sur les sites gouvernementaux et les mises à jours Apache, il y a du boulot pendant 10 ans <img data-src=" />


ArhK
Le 07/09/2012 à 12h38






Consultant a écrit :

pour bien connaitre le sujet de la prestation avec l’Etat Français

mon seul commentaire c’est mort de rireeeeeeeeeeee <img data-src=" />


Bah ce sont de bonnes vaches à lait comme on les aime dans le conseil quoi…..

C’est un peu terrifiant quand on voit la médiocrité hallucinante au niveau “Pilotage des prestations externalisées”, et le fait que ce soit nous qui les payions indirectement….<img data-src=" />



doudawak
Le 07/09/2012 à 12h44






daroou a écrit :

un peu comme toi et la conjugaison <img data-src=" />



omg, +1



Consultant
Le 07/09/2012 à 12h44






ArhK a écrit :

Bah ce sont de bonnes vaches à lait comme on les aime dans le conseil quoi…..



Salut Arhk,

Dans certains domaines justement non, le plus mauvais payeur de France ? l’état Français ! le plus mauvais en MOA ? l’état Français !
Ca apres pour te faire faire 15 000 réunions qui servent à rien des étude des comités des “j occupe mon temps en réunion” savent bien faire…

Un “truc” bien aussi, les fameux PAQ (plan d’assurance qualité) qui sont tres beau sur le papier mais qui sont jamais mis en place (et souvent pas par faute du prestataire..)


C’es<img data-src=" /><img data-src=" />t un peu terrifiant quand on voit la médiocrité hallucinante au niveau “Pilotage des prestations externalisées”, et le fait que ce soit nous qui les payions indirectement….<img data-src=" />


oui <img data-src=" />



Anonyme
Le 07/09/2012 à 12h56

j’ai arrêté de lire dés que j’ai vu php drupal… quand on cherche, on trouve..


Anonyme
Le 07/09/2012 à 12h57

j’ai arrêté de lire dés que j’ai vu php drupal… quand on cherche, on trouve..


nicobiz
Le 07/09/2012 à 13h04

Défaut de sécurisation, c’est Hadopi qui va être contente <img data-src=" />


sylvebarbe
Le 07/09/2012 à 13h14

“les services de sécurité informatique n’ont détecté aucune trace d’intrusion durant la période ”

Bah oui, c’est évident, une intrusion si elle est réussie ne doit pas se voir, ça coule de source <img data-src=" /> En d’autres termes, ce n’est pas parce que le service de sécurité n’a rien vu que personne n’est venu les visiter… CQFD


Yutani
Le 07/09/2012 à 13h31






sylvebarbe a écrit :

“les services de sécurité informatique n’ont détecté aucune trace d’intrusion durant la période ”

Bah oui, c’est évident, une intrusion si elle est réussie ne doit pas se voir, ça coule de source <img data-src=" /> En d’autres termes, ce n’est pas parce que le service de sécurité n’a rien vu que personne n’est venu les visiter… CQFD


ça me rappelle un lycée où je bossais, il y avait un code à 4 chiffres pour accéder au réseau ‘normal’ (consultation de fichiers, éditions limitées de données etc…) tu prenais le même code et tu ajoutais R au bout, tu passais en root … :facepalm:



Futureman
Le 07/09/2012 à 13h47

Et sinon la CNI next gen c’est pour quand ? <img data-src=" />
<img data-src=" />


XalG
Le 07/09/2012 à 13h47






doudawak a écrit :

omg, +1



<img data-src=" />

Ils n’ont pas mis en place une solution de pare-feu open office ?



Yutani
Le 07/09/2012 à 13h49






nick_t a écrit :

Et sinon la CNI next gen c’est pour quand ? <img data-src=" />
<img data-src=" />


alors nous sommes ‘dredi 7/09/2012 …. disons hmmmm … jamais <img data-src=" />



Xavier.B
Le 07/09/2012 à 13h53






ActionFighter a écrit :

C’est mieux formulé maintenant. Le “suivant l’identification des problèmes” a été ajouté après mon commentaire.


Oui, désolé de ne pas l’avoir signalé plus tôt dans les commentaires. Je voulais lever toute ambiguïté, et j’étais pris par le temps donc j’ai fait au plus pressé. Donc oui, tu avais bien lu :)



sanscrit
Le 07/09/2012 à 13h58

On ne pourrais pas avoir le nom du prestataire ? du moins savoir juste si ce n’est pas le plus grosse SSII française avec un pdg pistonné ? avec des contrat arrangé.


tAran
Le 07/09/2012 à 14h02






sscrit a écrit :

On ne pourrais pas avoir le nom du prestataire ? du moins savoir juste si ce n’est pas le plus grosse SSII française avec un pdg pistonné ? avec des contrat arrangé.


Toi, tu parles du pote de nos amis Portos et Aramis <img data-src=" />



CUlater
Le 07/09/2012 à 14h06


elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau
Et le fameux mdp “password”, c’était pas chez eux?


Fuinril
Le 07/09/2012 à 14h07






Shulk a écrit :

“mode troll”
Comme le nuage de Tchernobyl qui a été stoppé à la frontière, nan tu passeras pas ! ! ! <img data-src=" />
“/mode troll”




Hem…

Ton login PCI est publique pour mémoire…

Faut arrêter un peu… des sites qui sont mis à jour à chaque maj de leur CMS c’est plutôt ça l’exception…

En l’occurrence les vulnérabilités étaient mineures et/ou inexploitables, le presta semble être le même pour les divers sites, ce qui tend à indiquer un spécialiste Drupal susceptible d’avoir des modules qui ne sont pas compatibles et/ou pas facilement migrables (fréquent dans le cas où on utilise un ou plusieurs module privé pour “patcher” les failles d’un CMS).

Il peut y avoir des contraintes de serveur (version de PHP par exemple) ou 1000 autres raisons de ne pas mettre à jour… L’introduction de bugs et/ou de vulnérabilités dans les nouvelles versions n’étant que l’une d’elle…



Fuinril
Le 07/09/2012 à 14h10






sscrit a écrit :

On ne pourrais pas avoir le nom du prestataire ? du moins savoir juste si ce n’est pas le plus grosse SSII française avec un pdg pistonné ? avec des contrat arrangé.



Bienvenu dans le monde merveilleux des web agency et des contrats publiques : presque tous les appels d’offres de mairie/site étatique/département sont plus ou moins magouillés (pdg du même courant qui reçoit les offres des autres participants, ou les critères d’attribution détaillés, etc…)



anonyme_751eb151a3e6ce065481d43bf0d18298
Le 07/09/2012 à 14h16






Xavier.B a écrit :

Oui, désolé de ne pas l’avoir signalé plus tôt dans les commentaires. Je voulais lever toute ambiguïté, et j’étais pris par le temps donc j’ai fait au plus pressé. Donc oui, tu avais bien lu :)


Pas de soucis <img data-src=" />

Je comprend que ça puisse être dur de retranscrire des explications foireuses <img data-src=" />

Merci pour ce travail journalistique <img data-src=" />



anonyme_60aeeb9ee17a60482c7144ba44f6c818
Le 07/09/2012 à 14h21






daroou a écrit :

un peu comme toi et la conjugaison <img data-src=" />




oui sauf que c’est de la lecture/écriture…. <img data-src=" />



Yutani
Le 07/09/2012 à 14h33






yukon_42 a écrit :

oui sauf que c’est de la lecture/écriture…. <img data-src=" />


a moins que ça ne soit que de la lecture seule <img data-src=" />

————&gt;[ <img data-src=" /> ]



ArhK
Le 07/09/2012 à 14h57






Consultant a écrit :

Salut Arhk,

Dans certains domaines justement non, le plus mauvais payeur de France ? l’état Français ! le plus mauvais en MOA ? l’état Français !
Ca apres pour te faire faire 15 000 réunions qui servent à rien des étude des comités des “j occupe mon temps en réunion” savent bien faire…

Un “truc” bien aussi, les fameux PAQ (plan d’assurance qualité) qui sont tres beau sur le papier mais qui sont jamais mis en place (et souvent pas par faute du prestataire..)



oui <img data-src=" />



Je pense que ça dépend de quelle organisme étatique on parle en effet.

Pour le coup des PAQ merdiques, c’est avant tout la faute du prestataire qui s’est branlé la nouille a s’engager sur tout un tas de mesures/modes opératoires qu’il n’est pas en mesure de respecter opérationnellement….

Après, si en interne personne ne recadre ni ne pilote le prestataire, faut pas s’étonner…

Quand je vois les clauses contractuelles et les modalités de calcul de pénalités dans les contrats sur lesquels je bosse, ya vraiment de quoi se pendre…<img data-src=" />



anonyme_60aeeb9ee17a60482c7144ba44f6c818
Le 07/09/2012 à 15h51






Yutani a écrit :

a moins que ça ne soit que de la lecture seule <img data-src=" />

————&gt;[ <img data-src=" /> ]





un petit chmod et c’est bon <img data-src=" />



baldodo
Le 07/09/2012 à 16h26






ArhK a écrit :

Quand je vois les clauses contractuelles et les modalités de calcul de pénalités dans les contrats sur lesquels je bosse, ya vraiment de quoi se pendre…<img data-src=" />



y a des sociétés qui paient les pénalités ? si elles sont même pas capable d’avoir un directeur qui soit de la même promo que son alter ego de l’organisme public c’est bien fait pour elles <img data-src=" /> (humour caricatural noir)



Anonyme_f7d8f7f164fgnbw67p
Le 07/09/2012 à 16h34






ArhK a écrit :

Je pense que ça dépend de quelle organisme étatique on parle en effet.

Pour le coup des PAQ merdiques….


C’est aussi valable dans le privé, je suis consultant dans les boites de pharma en bioprocess (donc un sujet très sensible : vaccins, anticancereux parentéraux, insuline, etc…), et les PAQP foireux, la réunionite à outrance, les glandus aux postes de décision, les jean-foutre, les contrats vérolés, les failles de sécurité béantes, les sous-trainants qui font n’imp, etc. tout ca ca existe aussi dans mon milieu, et dans bien d’autres du privé..

Mes anciennes boites bossaient aussi pour le nucléaire (super sensible, donc), la chimie fine, la chimie lourde, et l’armement : on y trouve exactement les mêmes merdes.

L’Etat en tant que “société”, c’est ni pire ni meilleur que le privé. Y’a du bon et du mauvais dans les deux, et souvent le même mauvais, d’ailleurs.



Yutani
Le 07/09/2012 à 17h04






yukon_42 a écrit :

un petit chmod et c’est bon <img data-src=" />


pour beaucoup cette commande ressemble a extraire Excalibur du rocher <img data-src=" />
(moi y compris, vu mon niveau en ligne de commande)



WereWindle
Le 08/09/2012 à 04h58






Yutani a écrit :

pour beaucoup cette commande ressemble a extraire Excalibur du rocher <img data-src=" />
(moi y compris, vu mon niveau en ligne de commande)


c’est un bête changement de permission d’accès (lecture/écriture/execution)
Le chroot est plus complexe à piger… mais chmod… <img data-src=" />



Deep_INpact
Le 08/09/2012 à 05h16

“dormez tranquille, nous sommes des gens sérieux et nos choix sont toujours les meilleurs…”


Sharkiller
Le 08/09/2012 à 09h44


« si une personne mal intentionnée avait pu récupérer les logins des utilisateurs du back office, (en trouvant la syntaxe spécifique), elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau »

Sauf que si via une syntaxe spécifique quelqu’un arrive à obtenir les logins, il devrait aussi arriver à obtenir les mots de passe…


Mihashi Abonné
Le 08/09/2012 à 09h54






Fuinril a écrit :

Hem…

Ton login PCI est publique pour mémoire…





Sharkiller a écrit :

Sauf que si via une syntaxe spécifique quelqu’un arrive à obtenir les logins, il devrait aussi arriver à obtenir les mots de passe…



Un login (identifiant en français) est généralement constitué d’un pseudo (nom d’utilisateur) et d’un password (mot de passe)…



Sharkiller
Le 08/09/2012 à 10h09






Mihashi a écrit :

Un login (identifiant en français) est généralement constitué d’un pseudo (nom d’utilisateur) et d’un password (mot de passe)…


Il me semblaient que les sites qui te demandent ton “login” parlent de ton nom d’utilisateur.
En tout cas, on lit clairement que le ministre parle de “login” pour dire “nom d’utilisateur”, donc c’est surtout en référence à son texte.



Fuinril
Le 08/09/2012 à 11h35






Mihashi a écrit :

Un login (identifiant en français) est généralement constitué d’un pseudo (nom d’utilisateur) et d’un password (mot de passe)…



Non.

Un login (ou identifiant si tu veux) c’est une chaîne de caractères. Sur certains sites c’est les pseudos, sur d’autres les mails, sur d’autres des chaines de caractères uniques…. c’est très variable. C’est pour ça qu’on parle de couple login/password.



Sharkiller a écrit :

Sauf que si via une syntaxe spécifique quelqu’un arrive à obtenir les logins, il devrait aussi arriver à obtenir les mots de passe…



<img data-src=" />

ah bon ? Bon petite explication de la “syntaxe” : tu essayes de te connecter avec un login et un mot de passe. Le login n’existe pas tu as un message qui te dit “votre identifiant ou votre mot de passe est incorrect”, si il existe tu en as un autre du type “votre mot de passe est incorrect”. Tu crois vraiment qu’il y a une page dans l’admin de Drupal qui liste les membres du groupe admin accessible en publique ?<img data-src=" />

C’est peut être pas le meilleur CMS php, d’ailleurs je ne l’aime pas, mais faut pas déconner, Drupal c’est quand même un CMS très sérieux <img data-src=" />



Mihashi Abonné
Le 08/09/2012 à 11h44






Fuinril a écrit :

Non.

Un login (ou identifiant si tu veux) c’est une chaîne de caractères. Sur certains sites c’est les pseudos, sur d’autres les mails, sur d’autres des chaines de caractères uniques…. c’est très variable. C’est pour ça qu’on parle de couple login/password.


<img data-src=" />
Wikipédia :
En informatique, on appelle identifiants les informations permettant à une personne de s’identifier auprès d’un système. Il s’agit le plus souvent des informations suivantes : un nom d’utilisateur et un mot de passe.
For systems where a user must type in a username and password the username and password combination is their login.



Anonyme
Le 08/09/2012 à 20h17






Sharkiller a écrit :

Sauf que si via une syntaxe spécifique quelqu’un arrive à obtenir les logins, il devrait aussi arriver à obtenir les mots de passe…


Non ça n’a rien à voir car les logins sont en clair alors que les mots de passe sont censés être chiffrés. Tout ce que tu obtiendras, c’est le hash du mot de passe.



2show7
Le 09/09/2012 à 09h07

“Tout va très bien, Madame la Marquise…..”

<img data-src=" />

<img data-src=" />

<img data-src=" />


dualboot
Le 09/09/2012 à 09h56






CryoGen a écrit :

Et un vrai contrat avec des clauses de SLA relatives aux mises à jours et correctifs ? <img data-src=" /> Je suppose que l’état paye un bras le service comme d’habitude.


Malheureusement non. Il pense souvent que logiciel libre c’est un logiciel gratuit et donc il paie que dalle.
Il n’y a que les logiciels proprio qui bénéficient d’une maintenance à des prix exorbitants.

De plus pour un ministère il n’y a pas un budget global pour leur services informatiques.



Sharkiller
Le 09/09/2012 à 10h16






Fuinril a écrit :

Non.

Un login (ou identifiant si tu veux) c’est une chaîne de caractères. Sur certains sites c’est les pseudos, sur d’autres les mails, sur d’autres des chaines de caractères uniques…. c’est très variable. C’est pour ça qu’on parle de couple login/password.



C’était ce qu’il me semblait aussi, mais j’ai regardé la définition de “login”, et il apparaît que c’est bien la combinaison identifiant/mot de passe.

the term login is a noun and refers to the credentials required to obtain access
(Wikipedia)




Fuinril a écrit :

ah bon ? Bon petite explication de la “syntaxe” : tu essayes de te connecter avec un login et un mot de passe. Le login n’existe pas tu as un message qui te dit “votre identifiant ou votre mot de passe est incorrect”, si il existe tu en as un autre du type “votre mot de passe est incorrect”. Tu crois vraiment qu’il y a une page dans l’admin de Drupal qui liste les membres du groupe admin accessible en publique ?<img data-src=" />



Justement, oui, il me semble que quand tu te connectes à l’interface d’administration tu peux voir la liste des utilisateurs, ainsi que leur type d’accès.
Mais pour la “syntaxe spécifique”, je pensais à une méthode permettant d’exploiter une faille (genre par injection SQL) pour avoir accès aux logins. Donc même chose pour les mots de passe.



TheSamFrom1984 a écrit :

Non ça n’a rien à voir car les logins sont en clair alors que les mots de passe sont censés être chiffrés. Tout ce que tu obtiendras, c’est le hash du mot de passe.


Dépendant de la méthode de hashage utilisée, avec les rainbow tables ça pourrait ne pas être trop un problème.


Enfin, je suis pas spécialiste en sécurité, loin de là. La théorie, c’est toujours plus beau. <img data-src=" />



levhieu
Le 10/09/2012 à 06h59






Fuinril a écrit :


ah bon ? Bon petite explication de la “syntaxe” : tu essayes de te connecter avec un login et un mot de passe. Le login n’existe pas tu as un message qui te dit “votre identifiant ou votre mot de passe est incorrect”, si il existe tu en as un autre du type “votre mot de passe est incorrect”. Tu crois vraiment qu’il y a une page dans l’admin de Drupal qui liste les membres du groupe admin accessible en publique ?<img data-src=" />




Déjà ça c’est pas bien.
En cas d’échec de connexion, un système dont le message d’erreur varie donne une information qui peut être utilisée à des fins malveillantes.



Fuinril
Le 10/09/2012 à 10h32






levhieu a écrit :

Déjà ça c’est pas bien.
En cas d’échec de connexion, un système dont le message d’erreur varie donne une information qui peut être utilisée à des fins malveillantes.



Qui a dit que c’était bien ? C’est une vulnérabilité mineure, tellement mineure que beaucoup de services font le choix de laisser le nom d’utilisateur publique, mais ça n’en est pas moins une vulnérabilité.

De là à insulter la boîte qui s’occupe de la maintenance des sites pour ne pas avoir patché cette vulnérabilité (et non faille) en ne sachant absolument pas ce que cela pouvait entrainer en terme de charge de travail (et donc de coût, au final ce sont toujours nos impôts qui payent) il y a un monde…