Quand les vendeurs de
technologies et d'espace informatique se moquent de leurs clients...
Update (01/06/99): il existe désormais une version plus complète de ce papier puisque nous avons
réuni toutes les informations dont nous avions besoin pour avancer quelques noms. Merci
à nos sources...
| Récapitulatif
des papiers sur le monde étrange des administrateurs réseau et systèmes |
| Récapitulatif
de nos copies d'écran sur ce même monde étrange |
| It's a funky job. But Kitetoa's digital clone does it... |
| Do you know info-hack Kung-Fu? |
| La hotte du Kitetopapanoël |
| Ze Mega
Kite-Teuf! La fête de l'été de Kitetoa... Les sites les plus nazes de l'été 2000 |
| La
Loi de 78 impose aux entreprises de protéger les bases de données qu'elles constituent... |
Lorsque des institutions très "en vue" dans notre beau pays cherchent un hébergement externe pour leur serveur Web, qu'il soit destiné à faire du commerce électronique ou simplement à diffuser de l'information institutionnelle, elles cherchent un hébergeur ou une SSII qui puisse apporter un degré maximum de sécurité.
Imaginez par exemple une très grosse institution qui cherche à mettre en place son Intranet. Mais à héberger les serveurs en dehors de chez elle. Elle cherche une sécurité à toute épreuve.
L'appel d'offres est lancé. Les SSII et les hébergeurs répondent avec le discours suivant:
"D'accord on est chers, mais vous savez, notre centre informatique, c'est Fort Knox"...
Ah...
Dans ce cas, pourquoi le contenu des commandes passées par les cyber-clients est il accessible via un simple browser? De même, pourquoi l'accès au module de mise à jour de tel Intranet est-il accessible directement via le WWW? [Ca c'est pour la France et ses entreprises qui "pigeonnent" ainsi en quelque sorte leurs clients... (Disons que c'est du vécu...).]
Ce n'est pas la peine de raconter partout que l'on a deux, trois..., dix FireWalls en cascade et que l'on utilise SSL pour crypter les transactions si les serveurs sont mal configurés et qu'ils répondent à des requêtes auxquelles ils ne devraient pas répondre!!
Ces deux derniers jours ont permis de remettre au goût du jour deux histoires un peu anciennes. HNN (dont on vous a déjà parlé) rapporte deux problèmes de sécurité qui permettent à tout gamin armé d'un browser de lire les commandes sur des sites marchands et de prendre le contrôle éditorial d'autres serveurs. Une brève recherche sur des moteurs de recherche classique renvoie des milliers de serveurs affectés.
Cette triste situation est symptomatique d'un problème déjà abordé sur ce serveur. Les personnes qui s'occupent de ces serveurs (et de ces réseaux parfois?!) ne sont pas à la hauteur. Ils ont généralement très mal configuré ou installé le serveur (dans ce cas on trouve aussi le caddie virtuel). Comment des non informaticiens comme nous peuvent-ils par exemple accéder au fichier créé au moment de l'installation de tel serveur? Comment peut-on voir tout cela??
Pffff.... Grosse fatigue...
Mais bon, tout cela n'est pas bien grave. Car en fait il s'agit simplement de data, d'ordinateurs, de tuyeaux et pas de vies humaines, que l'on sache. Reste que voir les entreprises payer des fortunes pour obtenir une petite place dans des Fort Knox en carton...
Et puis zut, on ne répétera jamais assez que ce réseau et son protocole n'ont pas été inventés pour réaliser des échanges sécurisés...
Quelques images pour mieux se rendre compte?...