D'importantes failles détectées sur des sites gouvernementaux

D’importantes failles détectées sur des sites gouvernementaux

Une faille défaut

Avatar de l'auteur

Xavier Berne

Publié dansLogiciel

06/09/2012
52
D'importantes failles détectées sur des sites gouvernementaux

Des trous béants dans plusieurs sites gouvernementaux : voilà ce qu’à découvert la semaine dernière un internaute selon les informations du Canard Enchaîné en date d’hier. D’après nos confrères, ce dernier aurait ensuite signalé ces failles à Zataz, qui se serait chargé de transmettre à l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

portail gouvernement

 

Au total, le Canard Enchaîné parle d’une « demi-douzaine de sites officiels du gouvernement français [concernés], et peut-être davantage ». Parmi eux, on trouve celui du ministère de l’Économie « www.economie.gouv.fr », de l’Emploi « http://travail-emploi.gouv.fr » ou bien encore du Redressement productif « www.redressement-productif.gouv.fr ».

 

Problème : ces sites étaient édités grâce à Drupal, un logiciel libre de gestion de contenus (CMS) qui n’avait pas été mis à jour. La version du logiciel était vulnérable, mais il faut surtout retenir qu’elle était « affectée d’un vice parfaitement connu, identifié et réparable », souligne le Canard Enchaîné, qui relève que la faille avait été découverte en avril 2010.

 

On notera par ailleurs que des vulnérabilités concernant ce logiciel ne sont pas rares. L’ANSSI via le CERTA avertissait par exemple en mai 2011 que les versions 7.x antérieures à 7.1 ainsi que les versions 6.x antérieures à 6.21 de Drupal comportaient des risques de « contournement de la politique de sécurité » et d’« injection de code indirecte à distance ». Pour parer à ces vulnérabilités, l’agence renvoyait vers un correctif.

 

Pour les failles découvertes en avril 2010, le Canard estime que « la négligence des responsables est stupéfiante » au regard des conséquences de cet « oubli » des agents publics. Il s’avère en effet que des personnes mal intentionnées auraient pu acquérir les droits d’administrateur, et donc contrôler chaque site défaillant. Surtout, nos confrères notent qu’un individu aurait pu infecter les machines des visiteurs de virus ou de logiciels espions, ou bien encore récupérer les identifiants et mots de passe de certains utilisateurs.

 

Autre détail intéressant : le mot de passe permettant d’accéder à la fonction d’administrateur d'un des sites était tout simplement « password »...

 

Par chance, c’est un internaute visiblement bien intentionné qui a découvert et signalé ces problèmes. Les autorités auraient depuis réparé les brèches en question. Les ministères concernés n'ont pour l'instant pu nous apporter davantage de précisions.

52
Avatar de l'auteur

Écrit par Xavier Berne

Tiens, en parlant de ça :

Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Tout plus mieux qu'avant

09:30Hardware 0
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

CyberCom'

09:06Sécurité 0
Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

Des mini datacenters… Ouais une baie quoi ?

19:03HardwareInternet 2

Sommaire de l'article

Introduction

Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hardware 0
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécurité 0

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

0
Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardwareInternet 2
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IA et algorithmesSociété numérique 33

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA et algorithmes 17
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitInternet 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société numérique 4
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitInternet 2

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

0

Le poing Dev – round 6

Next 139

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Droit 7
consommation de l'ia

Usages et frugalité : quelle place pour les IA dans la société de demain ?

IA et algorithmes 12

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Sciences et espace 17
Concept de CPU

Semi-conducteurs : un important accord entre l’Europe et l’Inde

Hardware 6

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter

0
Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

651e édition des LIDD : Liens Intelligents Du Dimanche

Internet 30
Bannière de Flock avec des bomes sur un fond rouge

#Flock, le grand remplacement par les intelligences artificielles

Flock 34
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #9 : LeBrief 2.0, ligne édito, dossiers de fond

Next 63
Pilule rouge et bleue avec des messages codés

Encapsulation de clés et chiffrement d’enveloppes

Sécurité 31
Empreinte digital sur une capteur

Empreintes digitales : les capteurs Windows Hello loin d’être exemplaires

Sécurité 20

#LeBrief : succès du test d’Ariane 6, réparer plutôt que remplacer, Broadcom finalise le rachat de VMware

0

Hébergeurs, éditeurs, espaces de conversation ? La difficile régulation des réseaux sociaux

Réseaux sociauxSociété numérique 23
Puces en silicium

Silicium : un matériau indispensable et omniprésent, mais critique

HardwareSciences et espace 25
Panneau solaire bi-face Sunology Play

Panneaux solaires en autoconsommation : on décortique le kit Play de Sunology

Hardware 27
The eyes and ears of the army, Fort Dix, N.J.

Un think tank propose d’autoriser les opérations de « hack back »

Sécurité 13

#LeBrief : Ariane 6 sur le banc de test, arrestation algorithmique, entraînement d’IA par des mineurs

0
Logo de Google sur un ordinateur portable

Chrome : Google corrige plusieurs failles sévères, dont une déjà exploitée

Logiciel 0

vieux téléphones portables

Des cadres supérieurs invités à n’utiliser que des téléphones jetables à Hong Kong

Sécurité 6

La Dreamcast de Sega fête ses 25 ans

Hardware 5

Pilule rouge et bleue avec des messages codés

Démantèlement d’un groupe ukrainien de rançongiciels

Sécurité 1

Commentaires (52)


ngcubeur
Il y a 11 ans

Le coup du password… <img data-src=" />


Wikus
Il y a 11 ans


Autre détail intéressant : le mot du passe permettant d’accéder à la fonction d’administrateur du site était tout simplement « password »…

Par chance, c’est un internaute visiblement bien intentionné qui a découvert et signalé ces problèmes. Les autorités auraient depuis réparé les brèches en question. Les ministères concernés n’ont pour l’instant pu nous apporter davantage de précisions.

Et après on demande à Mme Michu de sécuriser son accès wifi… <img data-src=" />


Anonyme
Il y a 11 ans

Beh, on n’est pas vendredi ?


TaigaIV
Il y a 11 ans

Ou pire des individus mal intentionnés auraient pu en profiter pour publier des chiffres faux, par exemple diminuer le nombre de chômeurs. <img data-src=" />


saf04
Il y a 11 ans

“Autre détail intéressant : le mot du passe permettant d’accéder à la fonction d’administrateur du site était tout simplement « password »…”

de quel site on parle la ??

l’article parle bien d’une ‘demi-douzaine de sites officiels du gouvernement français et peut-être davantage’ ?

ca manque un peu de cohérence toussa…


fwak
Il y a 11 ans

Le coup du password, ça peut aussi être un “honey pot”. Enfin j’espère !


klemix
Il y a 11 ans

Ca fait une mauvaise pub pour Drupal.

Mais c’est les DSI locales qui partent en inde. Si c’est pas noté de mettre à jour les failles et bas ils le font pas.

Cdlt,
Clément


ManuT
Il y a 11 ans

C’est honteux…
Mais vraiment.


Huron
Il y a 11 ans

Incompréhensible.


Wikus
Il y a 11 ans






klemix a écrit :

Ca fait une mauvaise pub pour Drupal.


Mauvaise pub pour le gouvernement surtout, car après tout il “suffisait” de mettre à jour Drupal.



ManuT
Il y a 11 ans






saf04 a écrit :

“Autre détail intéressant : le mot du passe permettant d’accéder à la fonction d’administrateur du site était tout simplement « password »…”

de quel site on parle la ??

l’article parle bien d’une ‘demi-douzaine de sites officiels du gouvernement français et peut-être davantage’ ?

ca manque un peu de cohérence toussa…



Ben surement que l’administration est commun entre tout les sites et pour y rentrer, le MDP est tout simplement “password”



saf04
Il y a 11 ans






Manu114 a écrit :

Ben surement que l’administration est commun entre tout les sites et pour y rentrer, le MDP est tout simplement “password”



heu non…




  • techniquement ca serait de la folie pure.

  • et l’article a été modifié pour parler du mot de passe d’un des sites.




Huron
Il y a 11 ans






saf04 a écrit :

heu non…




  • techniquement ca serait de la folie pure.

  • et l’article a été modifié pour parler du mot de passe d’un des sites.



    Statistiquement entre le nom du chien , les “1234” ,les dates de naissance et les trucs genre “bite ,couille,nichon” ca reflete helas un sacré paquet de monde…



ManuT
Il y a 11 ans






saf04 a écrit :

heu non…




  • techniquement ca serait de la folie pure.

  • et l’article a été modifié pour parler du mot de passe d’un des sites.



    Ok, merci pour l’info



Xavier.B
Il y a 11 ans






saf04 a écrit :

heu non…




  • techniquement ca serait de la folie pure.

  • et l’article a été modifié pour parler du mot de passe d’un des sites.

    Oui, j’ai effectué une petite mise à jour, l’article source évoque le mot de passe “du” site, sans pour autant renvoyer à un site en particulier. Ne sachant pas de quel site il s’agit, je préfère parler “d’un des sites”. J’espère tout de même pouvoir avoir un retour des services concernés pour vous répondre avec plus de précisions dès que possible :)



saf04
Il y a 11 ans

merci xavier


Gilbert_Gosseyn Abonné
Il y a 11 ans

Comme quoi, j’ai beau critiquer SPIP (et les dérivés qu’utilisent certains ministères - dont GISEH à l’écologie), il semble plus robuste …


neves
Il y a 11 ans

Mouais, c’est pas le big one non plus, faut relativiser. Ok ils auraient du mettre à jour, sans conteste, mais les failles en question ne sont pas extrêmement graves non plus, et ne permettent pas une prise de contrôle du site immédiate :




  • Reflected cross site scripting vulnerability in error handler (injection de code indirecte à distance haha…)
    Avec ça on doit pouvoir piéger un admin (avec un minimum de Social Engineering), mais l’adviso indique bien “The issue can be mitigated by disabling on-screen error display at admin/settings/error-reporting.”. On ne sait pas si le module était activé ou non sur les sites.


  • Cross site scripting vulnerability in Color module
    “Successful exploitation requires the “Administer themes” permission.” : il faut être authentifié sur le drupal et déjà avoir des droits d’administration.


  • Access bypass in File module
    “When using private files in combination with a node access module, the File module allows unrestricted access to private files.” : 2 conditions qui me semblent improbables sur les sites en question. Au pire on a accès a des fichiers réservés à d’autres personnes. Espérons qu’on n’y trouve pas passwords.xls :)

    Par contre l’histoire du mot de passe admin “password”, ça c’est bien scandaleux. A par ça, on ne peut pas dire que des “personnes mal intentionnées auraient pu acquérir les droits d’administrateur”, sans tester les vulnérabilités en question pour savoir si les modules faillibles étaient activés ou non.

    Comme toujours avec ce torchon qu’est Zataz, beaucoup de bruit pour pas grand chose. (olala, le forum de Zataz n’est pas à jour, c’est la fin du monde !! <img data-src=" />)


kiedso
Il y a 11 ans

Les sites concernés sont des portails d’information des différents ministères. Les infos ne sont pas si sensibles, si?
Je suis d’accord qu’on mette au pilori des incompétents, mais je ne sais pas si ces sites sont d’une importance extrême. Si on parle du site du SIV ou des impôts, là je révise mon jugement.


klemix
Il y a 11 ans






FrenchPig a écrit :

Mauvaise pub pour le gouvernement surtout, car après tout il “suffisait” de mettre à jour Drupal.




Malheureusement, les clients de site en CMS vont retenir faille - drupal.

Par contre faire les maj ils ont plus de mal à l’intégrer.



Inny Abonné
Il y a 11 ans






kiedso a écrit :

Les sites concernés sont des portails d’information des différents ministères. Les infos ne sont pas si sensibles, si?
Je suis d’accord qu’on mette au pilori des incompétents, mais je ne sais pas si ces sites sont d’une importance extrême. Si on parle du site du SIV ou des impôts, là je révise mon jugement.


Le souci est que ces sites sont considérés “de confiance” et sont visités par des millions d’internautes. Injecter des malwares dessus peut avoir de lourdes conséquences.



after_burner
Il y a 11 ans


Une faille défaut


Ahem…





<img data-src=" /><img data-src=" />


fwak
Il y a 11 ans

Comme démontré par NeVes, Zataz comme Le Canard ont voulu jouer l’effet sensationnaliste. Le Canard est plus pardonnable dans le sens où il est “moins” censé maîtriser le sujet informatique.

Ce qui est plus gênant, c’est le manque de concertation et de collaboration entre les services de l’Etat ! L’ANSSI devrait être consultée systématiquement lors de la publication des sites, fussent-ils d’information, gouvernementaux. Ou s’assurer elle-même que ses guidelines sont suivi(e)s !


refuznik Abonné
Il y a 11 ans






Inny a écrit :

Le souci est que ces sites sont considérés “de confiance” et sont visités par des millions d’internautes. Injecter des malwares dessus peut avoir de lourdes conséquences.


+1



kiedso
Il y a 11 ans






Inny a écrit :

Le souci est que ces sites sont considérés “de confiance” et sont visités par des millions d’internautes. Injecter des malwares dessus peut avoir de lourdes conséquences.


Je suis d’accord avec toi, je n’avais pas regardé les choses sous cet angle.<img data-src=" />



sebtx Abonné
Il y a 11 ans

Ah bah il y a des choses sur lesquelles le gouverme-ment a toujours marché à l’économie…


GutsBlack
Il y a 11 ans






TaigaIV a écrit :

Ou pire des individus mal intentionnés auraient pu en profiter pour publier des chiffres faux, par exemple diminuer le nombre de chômeurs. <img data-src=" />


Pas besoin de hacker un site gouvernemental pour ça, les politiques publient déjà les mauvais chiffres.



athlonx2
Il y a 11 ans






after_burner a écrit :

Ahem…


<img data-src=" /><img data-src=" />




Ah? toi aussi …

<img data-src=" />



tazvld Abonné
Il y a 11 ans






Gilbert_Gosseyn a écrit :

Comme quoi, j’ai beau critiquer SPIP (et les dérivés qu’utilisent certains ministères - dont GISEH à l’écologie), il semble plus robuste …


Hum, vu la complexité des CMS actuel, il est difficile de garantir quelque chose sans faille. A la différence d’un OS, Drupal ne se met pas a jour tout seul.
Mais bon, je parie que c’est encore des sites qu’ils ont payer 40 000€ minimum. Il aurait au moins pu assurer la mise a jour



Jean_G Abonné
Il y a 11 ans






athlonx2 a écrit :

Ah? toi aussi …

<img data-src=" />



‘taing, moi aussi je viens seulement de la comprendre.

Allez, une petite bière, des haltères. <img data-src=" />



saf04
Il y a 11 ans






janiko a écrit :

‘taing, moi aussi je viens seulement de la comprendre.

Allez, une petite bière, des haltères. <img data-src=" />



et le plus important : la barre de faire



tAran
Il y a 11 ans






NeVeS a écrit :

blablabla

Comme toujours avec ce torchon qu’est Zataz, beaucoup de bruit pour pas grand chose. (olala, le forum de Zataz n’est pas à jour, c’est la fin du monde !! <img data-src=" />)


Ah ? ça apparaît où sur le site de Zataz ? <img data-src=" />
Comme toujours il y a des 133tz pour dénigrer la vulgarisation au grand public…
Si tu veux des informations à ton niveau (je le reconnais, ce n’est pas au miens), consulte plutôt le blog d’Eric Romang… sur Zataz <img data-src=" />



caesar
Il y a 11 ans






tazvld a écrit :

Hum, vu la complexité des CMS actuel, il est difficile de garantir quelque chose sans faille. A la différence d’un OS, Drupal ne se met pas a jour tout seul.
Mais bon, je parie que c’est encore des sites qu’ils ont payer 40 000€ minimum. Il aurait au moins pu assurer la mise a jour



A mon avis la mise à jour a été facturé par le prestataire… mais jamais faite.



John Shaft Abonné
Il y a 11 ans






TaigaIV a écrit :

Ou pire des individus mal intentionnés auraient pu en profiter pour publier des chiffres faux, par exemple diminuer le nombre de chômeurs. <img data-src=" />



Pour ça, c’est le site de l’INSEE qu’il faut pirater <img data-src=" />



anonyme_5308cee4763677866e1421efa4474f79
Il y a 11 ans






kiedso a écrit :

Les sites concernés sont des portails d’information des différents ministères. Les infos ne sont pas si sensibles, si?
Je suis d’accord qu’on mette au pilori des incompétents, mais je ne sais pas si ces sites sont d’une importance extrême. Si on parle du site du SIV ou des impôts, là je révise mon jugement.


Pas toujours, c’est souvent une technique d’attaque. Ex: tu souhaites attaquer un site X, tu attaques déjà un site Y en sachant par ex que le réseau Y sera relié en interne d’une façon ou d’une autre. Un cas pratique: attaquer un site web obsolète (et donc non patché) qui n’est plus en ligne (c’est fréquent, lorsqu’une entreprise refond ses ressources par ex.) mais toujours relié au nouveau site en ligne qui contient des infos sensibles.



neves
Il y a 11 ans






tAran a écrit :

Ah ? ça apparaît où sur le site de Zataz ? <img data-src=" />
Comme toujours il y a des 133tz pour dénigrer la vulgarisation au grand public…
Si tu veux des informations à ton niveau (je le reconnais, ce n’est pas au miens), consulte plutôt le blog d’Eric Romang… sur Zataz <img data-src=" />



Désolé mais Zataz est cité dans l’article de PCI comme source, et comme je ne vais pas lire ce site (par conviction personnelle) je n’ai pas été vérifier s’ils en parlaient… Ça me semblait couler de source. Mea culpa donc.

Je connais le blog d’eromang, qui est la seule partie technique intéressante du site, même s’il ne fait qu’en général reprendre des informations déjà publiques. Tout le reste est à jeter.
Zataz ce n’est pas que de la vulgarisation au grand public non, c’est principalement du sensationnalisme, avec presque tout le temps des infos incomplètes ou fausses (voire mensongères), et qui a pour seule constante un nombre de fautes d’orthographe ou de grammaire effrayant.
Zataz c’est le Voici ou l’Entrevue de la sécurité informatique. Mais ces deux derniers magazines se vendent bien, donc je ne m’inquiète pas pour la popularité de Zataz.

Mais on s’écarte un peu du sujet, non ?



tAran
Il y a 11 ans






NeVeS a écrit :

Désolé mais Zataz est cité dans l’article de PCI comme source, et comme je ne vais pas lire ce site (par conviction personnelle) je n’ai pas été vérifier s’ils en parlaient… Ça me semblait couler de source. Mea culpa donc.

Je connais le blog d’eromang, qui est la seule partie technique intéressante du site, même s’il ne fait qu’en général reprendre des informations déjà publiques. Tout le reste est à jeter.
Zataz ce n’est pas que de la vulgarisation au grand public non, c’est principalement du sensationnalisme, avec presque tout le temps des infos incomplètes ou fausses (voire mensongères), et qui a pour seule constante un nombre de fautes d’orthographe ou de grammaire effrayant.
Zataz c’est le Voici ou l’Entrevue de la sécurité informatique. Mais ces deux derniers magazines se vendent bien, donc je ne m’inquiète pas pour la popularité de Zataz.

Mais on s’écarte un peu du sujet, non ?


On s’écarte effectivement du sujet <img data-src=" />
Après, perso je trouve son site intéressant, c’est mon point de vue et je respecte le tiens, il faut de tout pour faire un monde <img data-src=" />



Marco07
Il y a 11 ans






Huron a écrit :

Statistiquement entre le nom du chien , les “1234” ,les dates de naissance et les trucs genre “bite ,couille,nichon” ca reflete helas un sacré paquet de monde…


Toute la sécurité informatique de toute ma famille vient de tomber en 1 commentaire!
<img data-src=" /><img data-src=" />



Marco07
Il y a 11 ans


Autre détail intéressant : le mot de passe permettant d’accéder à la fonction d’administrateur d’un des sites était tout simplement « password »…


Il s’était peut-être dit que personne ne tenterait tellement c’était gros!

<img data-src=" />


WereWindle
Il y a 11 ans






Marco07 a écrit :

Il s’était peut-être dit que personne ne tenterait tellement c’était gros!

<img data-src=" />


“Plus c’est gros, mieux ça passe !” (©Rocco Siffredi in La dolce vita dans ton c.. )



saf04
Il y a 11 ans






Marco07 a écrit :

Il s’était peut-être dit que personne ne tenterait tellement c’était gros!

<img data-src=" />



tant que le nom d’administrateur n’etait pas ‘admin’… ho wait! <img data-src=" />



Jarodd Abonné
Il y a 11 ans


Il s’avère en effet que des personnes mal intentionnées auraient pu acquérir les droits d’administrateur


Logique, pour des administrations <img data-src=" />

Pour le “password”, la question est tout simplement mal posé :


Tapez votre mot de passe ici :
{votremotdepasseici}


FrDakota Abonné
Il y a 11 ans

Défaut de sécurisation, l’état est condamné à payer 1500 euros à chaque foyer français. <img data-src=" />


cesame
Il y a 11 ans






Huron a écrit :

Statistiquement entre le nom du chien , les “1234” ,les dates de naissance et les trucs genre “bite ,couille,nichon” ça reflète hélas un sacré paquet de monde…


Heu … non. Je connais plusieurs personnes pour lesquelles le password est dell, collermaster, samtron, samsung, etc… bref le nom inscrit sur le boîtier ou l’écran…. <img data-src=" />



saf04
Il y a 11 ans






cesame a écrit :

Heu … non. Je connais plusieurs personnes pour lesquelles le password est dell, collermaster, samtron, samsung, etc… bref le nom inscrit sur le boîtier ou l’écran…. <img data-src=" />



a moins d’etre ultra technophile et d’avoir ‘la petite maison dans la prairie’ en md5 comme mot de passe , un password sera toujours mnémotechnique.



Winderly Abonné
Il y a 11 ans






TaigaIV a écrit :

Ou pire des individus mal intentionnés auraient pu en profiter pour publier des chiffres faux, par exemple diminuer le nombre de chômeurs. <img data-src=" />


<img data-src=" /><img data-src=" />



Fuinril
Il y a 11 ans






NeVeS a écrit :

Désolé mais Zataz est cité dans l’article de PCI comme source, et comme je ne vais pas lire ce site (par conviction personnelle) je n’ai pas été vérifier s’ils en parlaient… Ça me semblait couler de source. Mea culpa donc.

Je connais le blog d’eromang, qui est la seule partie technique intéressante du site, même s’il ne fait qu’en général reprendre des informations déjà publiques. Tout le reste est à jeter.
Zataz ce n’est pas que de la vulgarisation au grand public non, c’est principalement du sensationnalisme, avec presque tout le temps des infos incomplètes ou fausses (voire mensongères), et qui a pour seule constante un nombre de fautes d’orthographe ou de grammaire effrayant.
Zataz c’est le Voici ou l’Entrevue de la sécurité informatique. Mais ces deux derniers magazines se vendent bien, donc je ne m’inquiète pas pour la popularité de Zataz.

Mais on s’écarte un peu du sujet, non ?



100% d’accord…




Gilbert_Gosseyn a écrit :

Comme quoi, j’ai beau critiquer SPIP (et les dérivés qu’utilisent certains ministères - dont GISEH à l’écologie), il semble plus robuste …




Oulà…. Un conseil évite de lire les maj de sécurité de SPIP <img data-src=" />

Très sérieusement tout système des tailles des deux précités est susceptible de contenir des failles, mais là où Drupal à une base plutôt bien pensée et solide (même si ça tend à ressembler à une usine à gaz), SPIP c’est juste une grosse bouse sans nom qui ne ressemble à rien et qui ne devrait plus exister dans le monde des CMS php si il y avait la moindre justice technique en informatique.



Minikea
Il y a 11 ans






Gilbert_Gosseyn a écrit :

Comme quoi, j’ai beau critiquer SPIP (et les dérivés qu’utilisent certains ministères - dont GISEH à l’écologie), il semble plus robuste …


pluxml pour ma part!



Anonyme_f7d8f7f164fgnbw67p
Il y a 11 ans


le Canard estime que « la négligence des responsables est stupéfiante »

Eh oui c’est partout pareil, dans la fonction publique aussi : on met des idiots complètement incompétents aux postes de “responsables”, ces brêles ne connaissent en général pas le boulot de leurs subordonnés, comment voulez-vous qu’il n’y ait pas de ratés aussi gros que ca ?

C’est fini le temps du responsable qui faisait ses armes sur le terrain et qui gagnait ses galons, de nos jours les “responsables” ont fait des master de management tout bidons, pour la plupart.. Enfin pour les jeunes.


Par contre je suis surpris des commentaires : je m’attendais à trouver un max de “l’état c’est que des incompétents”, “où vont nos impôts”, “c’est de la faute à la gauche”, etc…


saf04
Il y a 11 ans






Drepanocytose a écrit :

C’est fini le temps du responsable qui faisait ses armes sur le terrain et qui gagnait ses galons, de nos jours les “responsables” ont fait des master de management tout bidons, pour la plupart.. Enfin pour les jeunes.



effectivement c’est fini ce temps la…
mais le probleme ne vient pas des kadors qui sortent de management.
eux on les retrouve que dans la section drh.

c’est pas super évident a expliquer parceque ce n’est pas rationnel.
mais en fait dans une société tu vas avoir trois types grosso modo de personnes:
-celles qui sont mal vues.
bon ok soit c’est du jugement au facies, soit des tires au flanc, tout ce que tu veux…
-celles qui bossent normalement.
ce sont les gens de tous les jours qui font leur truc sans rien dire. et si on leur dit ‘faut venir ce weekend/faut faire des heures’ ils diront oui.
-ceux qui montent.
dans ceux qui montent tu vas trouver 1% de ceux qui bossent normalement.
mais sinon globalement tu vas trouver des personnes qui sont des bugs dans le systeme.
c’est trés dur a comprendre mais c’est vrai.
quand (dans le privé comme le public) un gars est un désastre dans son boulot, si il a de l’ancienneté il coute moins cher de le promouvoir a un endroit ou il sera (un peu) moins incompétent que de le virer. et tu te retrouve alors avec des chaines de commandement a la noix, et les responsabilités assumées par la base.





Nicolas Vidia
Il y a 11 ans

Donc, c’est Jvachez qui a raison, dans le code libre on peut lire les failles de sécurité !? <img data-src=" /> <img data-src=" />

Qu’est ce que le gouvernement attend pour embaucher ce visionnaire !?






<img data-src=" />


anonyme_751eb151a3e6ce065481d43bf0d18298
Il y a 11 ans






Drepanocytose a écrit :

Par contre je suis surpris des commentaires : je m’attendais à trouver un max de “l’état c’est que des incompétents”, “où vont nos impôts”, “c’est de la faute à la gauche”, etc…


Ça c’est trop obvious <img data-src=" />



saf04 a écrit :

quand (dans le privé comme le public) un gars est un désastre dans son boulot, si il a de l’ancienneté il coute moins cher de le promouvoir a un endroit ou il sera (un peu) moins incompétent que de le virer. et tu te retrouve alors avec des chaines de commandement a la noix, et les responsabilités assumées par la base.


C’est exactement ça. Pour peu que le gars sache meubler son manque de compétences par une forte aptitude à déblatérer, il peut monter très haut.

Dans le meilleur des cas, au final, ce sont les exécutants qui prennent toutes les décisions, et la hiérarchie n’est là que pour la transmission des informations.
Dans le pire des cas, ça donne de belles news sur PCI.