Ta sécurité
en short sur Internet!! |
||||||||
|
Hop, nous
revoilou avec nos histoires à la mord moi le noeud... Toujours curieux, toujours à la recherche de serveurs mal installés dans des domaines importants comme la banque ou le gouvernement, voici que nous sommes tombés sur CPR. La société de bourse a passé récemment un accord avec l'Américain E*Trade pour pouvoir offrir des passations d'ordre en ligne sur le marché français. C'était assez triomphateur comme genre de communiqué de presse. Bref, passons. Voilà donc que Kitetoa met encore le nez où il ne doit pas. Armé de son browser préféré un Netscape Navigator bidule chose, votre serviteur tape: www.cprbourse.tm.fr. Petite balade dans les menus du Navigator... OK, confirmation de la présence d'un serveur mal installé... Lancement du bidule via le Navigator... Bingo, le contenu du serveur s'affiche dans le module Java ad hoc... Surpriiiiiiiiise...... C'est le serveur le plus mal installé du monde... ;) On y voit clairement l'endroit où sont stockés les mots de passe de l'administrateur... Arf... Imaginez la page d'accueil du serveur avec ce type de news: "Le marché s'effondre et perd 14%. L'invasion éclair de la Hongrie et de l'Allemagne par la Serbie a déclenché... bla, bla...". Il y a des chances pour qu'un mouvement vendeur s'initie... Non? Bref.... En images, ça donne ça pour le module de visualisation du contenu du serveur et ça pour les passwords (non vous ne les verrez pas en entier...). Les passwords ne sont pas "complètement" en clair, ils sont cryptés. Mais les outils pour les décrypter existent et il serait idiot de penser un instant que ce genre de chose peut arrêter des pirates informatiques.
Bien entendu, la CPR a été prévenue par mail le 03/06/99 après-midi (Corine Marchal E-mail : cmarchal@cpr.fr ainsi que le resposnable systèmes et sécurité de la boite et une autre personne de la CPR...) et nous n'avons rien fait de particulier sur leur serveur à part naviguer avec un browser pour la simple et bonne raison que nous n'avons aucune connaissance informatique. La soirée (la nuit?) a été agitée pour les membres de la CPR, cette charmante société de bourse qui offrait la possibilité à tout un chacun de voir au travers d'un simple browser les mots de passe de l'administrateur du serveur. Notre premier mail à l'attachée de presse n'a eu aucun effet à part une visite de *.cpr.fr sur le site... En vain puisque nous ne'avions encore rien publié. Ne recevant aucune réponse, nous avons décidé de publier l'histoire. Nous avons également décidé d'envoyer le même mail [prévenant du double problème d'installation du serveur] à deux autres personnes de la CPR, dont le responsable sécurité. Toujours pas de réponse à nos mail ce vendredi 4 juin. Ni merci, ni merde... Mais ce genre d'attitude n'est pas nouveau. Lisez notre petite mise au point sur ce sujet... En revanche, les problèmes du serveur sont réglés. Et les membres de la CPR se sont rués (et continuent aujourd'hui) sur notre serveur. On ne vous copie pas ici les logs du serveur concernant *.cpr.fr parce que la page ferait trois kilomètres de long... Notons au passage que la direction de la CPR ne peut être entièrement tenue pour responsables de cette affaire. De fait, E*Trade, l'américain aurait pu faire un audit une fois le service lancé. Tout comme CPR bien sur... Mais bon, ça coûte des sous les audits sécurité... De plus, le serveur est hébergé chez un ISP.... Imaginet si notre traceroute est juste... Celui-ci aurait pu installer les serveurs correctement et éviter une double erreur mêlant les défauts du serveur Netscape et des extensions Front Page de Microsoft. Beau doublé tout de même...! Bref, on peut tout de même tirer notre chapeau à la CPR qui a su régler le problème en une soirée tandis que d'autres avaient besoin de plusieurs mois... Ou ne l'ont toujours pas fait...
|
Page d'accueil Nous écrire By mail Nous envoyer des commentaires By la page de le Feed-Back |
Nouveautés
et... |
Le Sommaire de Kitetoa (orientation...) Sommaire général du site |
Les
rubriques! Les
livres publiés par Kitetoa |
Les
rubriques! (suite) Les Let-R-s Des Images On s'en fout! KitEcout' KessTaVu? -KiteToile Voyages |
Les dossiers : Precision [ZataZ] Le monde fou des Admins Defcon Le hack le plus bizarre Guerre de l'info Convention contre la cyber-criminalité Hack |
Questionnaire visant à améliorer le contenu de ce site si c'est possible et pas trop compliqué |
Rechercher sur le site ...et sur le Net Des liens et D'autres choses du Ouèb |