[Kitetoa, les pizzaïolos du Ouèb

Internet : la grande blague des SSII et des hébergeurs…

Ce texte détaille un premier article sur ce thème et apporte des précisions, notamment des noms. Il nous a en effet fallu pas mal de temps pour réunir toutes les informations et les preuves de ce que l'on nous avait rapporté. C'est fait... :)

  nav bar recap admins
Récapitulatif des papiers
sur le monde étrange
des administrateurs réseau
et systèmes
Récapitulatif de nos
copies d'écran
sur ce même monde étrange
Cette page n'est plus mise à jour
depuis août 2001
Taijiquan style Haking (dot com)
Sasak style Haking (dot com)
Le Match Kitetoa versus
Ugly Discoursmarketing
It's a funky job.
But Kitetoa's digital clone
does it...
Do you know info-hack
Kung-Fu?
La hotte du Kitetopapanoël
Ze Mega Kite-Teuf!
La fête de l'été de Kitetoa...
Les sites les plus nazes
de l'été 2000
La Loi de 78 impose
aux entreprises de protéger
les bases de données qu'elles
constituent
...

Presse classique, si tu trouves des idées ici, pense à nous citer...

Comme le rapportait il y a quelques semaines le Canard Enchaîné, certains sites de commerce électronique peuvent, de temps à autres, faire la " Une" des media parce qu’ils présentent des défauts se traduisant généralement par la divulgation à l’ensemble des intenautes de données confidentielles. Ce n’est toutefois que la partie émergée de l’iceberg. Lorsqu’un œil attentif est posé sur ce monde, c’est un véritable cauchemar qui se dévoile. On trouve dans ce domaine des Nouvelles technologies de l’information et de la communication (NTIC) un savant mélange de je m’enfoutisme et d’incompétence crasse.

Les exemples sont légion de serveurs mal configurés par des administrateurs systèmes ou des administrateurs réseau n’ayant aucune maîtrise de ces technologies. Ce qui démontre qu'elles ne sont pas nouvelles que pour les utilisateurs finaux… Cela n’empêche pas pour autant les SSII ou les hébergeurs de vendre très cher à leurs clients un degré de sécurité qu’elles sont incapables de fournir.

Quelques cas concrets et récents permettent d’éclairer le débat…

Il y a quelques mois à peine, pratiquement tous les serveurs Web hébergés par Experian, l’une des deux grosses SSII françaises, étaient mal configurés et permettaient à n’importe quel internaute de consulter les commandes passées (pour Infogreffe par exemple) ou les bouts de programme développés spécifiquement pour ces serveurs. Le problème a été réparé un mois et demi après avoir été signalé par un employé non informaticien de l’entreprise. Ce qui démontre à la fois l’empressement dont peuvent faire preuve ces sociétés, mais aussi la haute considération qu’elles ont de leurs clients à qui elles ont vendu très cher le concept de sécurité. Nos serveurs Web, c’est " Fort Knox ", claironnent les commerciaux des SSII en n’omettant pas, bien entendu de rappeler la présence au sein du centre informatique d’applications bancaires qui nécessitent, comme chacun s’en doute un fort niveau de sécurité. Argument fallacieux puisque les serveurs Web ne seront pas du tout sur le même réseau que les applications bancaires et qu’il s’agit de technologies bien différentes…

Que l’on se rassure, comme l’a démontré récemment le Canard, le concurrent direct d’Experian, Atos, fait preuve de la même incompétence et a visiblement le même degré de considération pour ses clients. A titre d’exemple, on peut donc rappeler ce serveur marchand d’un fleuriste virtuel qui exposait les commandes de ses clients. Mais le serveur Web " corporate " d’Atos lui-même présente le même défaut de configuration que ceux, en leur temps, d’Experian. N’importe qui peut accéder à des données qui ne sont, normalement pas visibles… Le serveur de la BNP est également dans ce cas, comme quoi, le secteur bancaire ne s'inquiète pas plus queles autres de ce genre de choses. Autre blague d’Atos, l’installation du module de paiement via Internet et carte bancaire (SIPS) sur le serveur de la FNAC. N’importe qui peut commander un disque pour le montant de son choix, voire même pour un montant négatif tellement le bidule est mal installé. Et cela dure depuis plus de deux ans… Ni Atos, ni la FNAC ne semblent trouver cela étrange.

Par ailleurs, comme nous l'avons expliqué ici à maintes reprises, le gouvernement français dont on peut imaginer qu’il s’inquiète de la bonne sécurité de ses serveurs reliés à Internet n’est pas en reste. Le secteur public est dans ce cas précis à égalité avec le secteur privé. Même incompétence, même réactivité. Prévenue il y a plus de quatre mois, la personne en charge de rédiger les référentiels techniques de sécurité pour la mise en place de ces technologies de l’information au sein de la mission interministérielle ad hoc a répondu texto qu’il est difficile de faire bouger les choses. De fait, quatre mois plus tard, le même trou béant de sécurité reste présent et n’importe qui peut par exemple, avoir accès a des détails confidentiels du site du ministère de la Santé.

Tout cela est bien hexagonal et n’est rien par rapport à l’affaire qui vient d’être dévoilée par un site d’informations américain, alimenté par la crème des hackers : Hackers News Network (www.hackernews.com). HNN a ainsi relevé qu’un défaut d’installation d’un certain type de serveurs permet à n’importe qui de mettre à jour à distance le serveur. Il est ainsi possible avec un simple navigateur Internet de changer le contenu éditorial d’un site ou d’en effacer toutes les pages. En réalisant une recherche simple sur un bête moteur de recherche, on peut trouver plus de 3.000 sites concernés. Notons au passage que le serveur de l’Organisation mondiale pour le commerce (OMC), situé en Suisse, présente le même défaut que celui du ministère de la Santé.

Par ailleurs, le réseau de hackers a pointé du doigt –ce qui l’a fortement médiatisée- une alerte émise par un internaute qui s’est rendu compte que six modules permettant d’installer des caddies virtuels sur un serveur Web marchand permettent, toujours avec un simple navigateur, et s’ils sont mal installés, de visionner toutes les commandes. C’est ainsi que l’on apprend que des Américains sont capables de dépenser plus de 1.000 dollars en bière. Ce qui prouve, pour ceux qui en doutaient que le commerce électronique, ça marche. Même sans trop de sécurité… Cela prouve aussi (pour ceux qui doivent encore être convaincus de cela) qu'il ne suffit pas de mettre en place un firewall et de crypter les échanges commerciaux avec SSL pour être dans un environnement secure.

Le fait que ces serveurs dévoilent leurs dessous à toute personne qui le demande n’est pas terrifiant en soi. Ce qui l’est, c’est que, lorsqu’ils sont installés correctement ils ne le font pas. En clair, les responsables de ces serveurs n’ont pas les compétences nécessaires pour exercer leur métier. Ce qui n’empêche pas les SSII et les hébergeurs de les fatcurer très cher à leurs clients.

Kitetoa

 

Liens de navigation

Naviguer, lire....

Page d'accueil

Nouveautés

Le Sommaire
de
Kitetoa

(orientation...)

Communiquer...

Le Forum
Kitetoa-blah-blah

Nous écrire

Les mailing-lists

Les stats du serveur

Qui sommes-nous?

Les rubriques!

Les livres publiés par Kitetoa

Les interviews

Kit'Investisseurs

Fonds d'écran et autres trucs

Les rubriques!
(suite)

KitEcout'

KessTaVu?-KiteToile

Voyages

la malle de Kitetoa
(vieilleries du site)

Les dossiers

Le monde fou des Admins

Tati versus Kitetoa

Tegam versus Guillermito

Malade mental...

Qui est Jean-Paul Ney,
condamné pour
menaces de mort
réitérées contre Kitetoa?

Le texte de la condamnation
de Jean-Paul Ney
(résumé html)
(complet pdf)

Malade mental, bis repetita

Jean-Paul Ney condamné
pour diffamation
à l'encontre du webmaster
de Kitetoa.com

Condamnation de Jean-Paul Ney
pour diffamation (pdf)

D'autres choses...

Aporismes.com

Statisticator

L'association Kite-Aide

Rechercher...

Rechercher
sur le site

et sur le Net...

Jean-Paul Ney

Jean-Paul Ney