Vivendi le Retourrrrr !

Serveurs troués, direction intouchable...

:)

Vivendi va bientôt vendre Vivendipublishing, son pôle de presse. Un truc absolument énorme... On est allé voir sur le Web à quoi cela ressemblait... Ca ressemble à un quelque chose de tellement mal paramétré que l’on en rit encore. Mais à quoi Jean-Marie paye-t-il les gens chargés de la sécurité de ses serveurs ? Ou alors, machiavélique, JMM serait en passe de vendre des sites troués pour pouvoir y revenir plus tard depuis son Atari Net Génération (ordi gratuit pour les salariés de vivendi) ?

Le sujet est un peu grave car, en gros, les commandes passées sur les boutiques sont accessibles, les sites sont piratables, les mots de passe d’administrateurs se baladent partout, les bases de données sont en accès libre. Ca nous fait même un peu trop de copies d’écrans…

Jean-Marie Messier a commis un livre dont le titre est "j6m.com, faut-il avoir peur de la nouvelle économie". A-t-il jamais eu une idée de ce à quoi s’expose vraiment une entreprise sur le Net, ce joujou qui lui coûte si cher ? Si c'était le cas, il aurait vraiment peur.

La sécurité, ce n'est pas pour la direction

Le site de VivendiUniversalpublishing lui-même [voici la page d'aide liée à la page d'accueil du site qui permet de gérer à distance VivendiUniversalpublishing via une interface HTML], des sites liés à la santé, Dalloz, Dunod, autant de serveurs piratables en quelques instants. Les mots de passe codés en dur là où ils ne devraient pas être sont généralement des mots de passe par défaut. Bref, une politique sécurité de haut vol qui en dit long sur cette entreprise qui veut s'imposer sur le Net comme dans le monde réel. N'oublions pas qu'ils avaient déjà été confrontés à un problème similaire... Ils n'avaient visiblement rien appris...

Comme toujours, nous avons prévenu les administrateurs. Mais cette fois, nous avons souhaité savoir jusqu'à quel point la direction générale d'un grand groupe était intéressée (souhaitait s'impliquer?) par une série de problèmes graves sur son réseau de serveurs. Nous avons donc proposé dans notre mail de rencontrer Eric Licoys, l'un des bras droits de Jean Marie Messier afin de lui exposer la portée de la chose. Nous avons bien entendu proposé que des techniciens soient présents. Pas de chance, Eric Licoys est un monsieur trop important et son carnet d'adresses est trop chargé. Impossible de le rencontrer. Même si nous refusions de donner les adresses des sites piratables à qui que ce soit d'autre que lui. Le dialogue de sourds a duré une semaine avec quatre interlocuteurs différents.

Cela démontre, à notre avis, combien les entreprises et les directions générales se contrefoutent des problèmes de sécurité. Nous ne saurions que les engager à lire ou relire Hell's r00ts qui n'est plus du tout quelque chose de romanesque, mais bien la réalité.

L'autre truc intéressant est de voir que certains hommes sont intouchables. Nos interlocuteurs chez Vivendi se sont-ils demandé si nous étions moins accaparés par nos boulots que leurs patrons? Quelqu'un s'est-il demandé si le fait de proposer un rendez-vous pour perdre, gracieusement, une demie-journée chez les marioles des technologies IP n'allait pas nous poser un problème???

Par ailleurs, nous avions choisi Eric Licoys car nous avions un moyen de le joindre très rapidement au téléphone. Cela nous a donc semblé intéressant de voir s'il valait mieux avoir un pseudo "réseau" ou un inconnu.

La réponse est: mieux vaut avoir un réseau.

Pour finir, nous dirons que si les données des entreprises sont leur richesse, que leur image est une composante importante de l'évolution de leur cours de bourse, alors, les patrons de Vivendi n'ont pas cerné les effets que pourrait avoir une attaque intelligente sur leurs serveurs. Une attaque visant à récupérer le contenu des bases et à modifier subtilement les informations diffusées par les filiales au travers des sites du groupe... Quel serait l'effet, par exemple, d'un communiqué de presse sur le site du groupe annonçant des résultats bien moins bons que prévu, quelques jours avant l'annonce officielle? De quoi se faire des couilles en or en bourse tiens... Chers investisseurs et autres fonds de pension: désormais, vous savez combien le cours de VivendiUniversal pourrait être sujet à de grosses fluctuations erratiques et quelle réponse la direction générale donne à ce type de problèmes.

Kitetoa