[Kitetoa, les pizzaïolos du Ouèb

Learn Info-Hack Kung-Fu: Ze mad monkey dance, Ze return
Bull.co.uk (again, again)

  nav bar recap admins
Récapitulatif des papiers
sur le monde étrange
des administrateurs réseau
et systèmes
Récapitulatif de nos
copies d'écran
sur ce même monde étrange
Cette page n'est plus mise à jour
depuis août 2001
Taijiquan style Haking (dot com)
Sasak style Haking (dot com)
Le Match Kitetoa versus
Ugly Discoursmarketing
It's a funky job.
But Kitetoa's digital clone
does it...
Do you know info-hack
Kung-Fu?
La hotte du Kitetopapanoël
Ze Mega Kite-Teuf!
La fête de l'été de Kitetoa...
Les sites les plus nazes
de l'été 2000
La Loi de 78 impose
aux entreprises de protéger
les bases de données qu'elles
constituent
...
N'ayant aucun feed back de nos mails à Bull, nous avons jugé utile, avant publication du premier papier, de prévenir le service de communication de Bull à Paris.

Rendons à Cesar ce qui est à César, autant la première fois, Bull nous avait fait halluciner par sa mauvaise gestion du petit problème que nous soulevions, autant cette fois, les échanges ont été cordiaux.

Il n'empêche... Si la réponse a été rapide, son contenu n'était pas moins creux. En gros, si l'on a bien compris (faites nous confiance) les techniciens ont expliqué que nous avions trouvé un bug dû à la version de Lotus Domino et qu'ils updataient immédiatement. c'est du moins ce que nous a répercuté le service de la communication.

En fait, toujours si l'on a bien compris, les techniciens ne faisaient pas référence à la même chose que nous. Nous ne parlions pas de fichiers concernant les utilisateurs du site ou des données personnelles. Encore moins des données de Bull qui auraient dû être protégées. Non. Nous parlions du fichier dans lequel est conservée la liste des utilisateurs (et leurs mots de passe) de la machine où est installé le serveur Web. La machine tourne sous NT. Reste à attraper le fichier SAM dans lequel se trouve le user "Administrator". Avec du temps, un outil comme L0phtcrack, on parvient à rendre utilisables les informations contenues dans   ce document...

Pourquoi ce machin était-il accessible?

Parce que le site Lotus permet de remonter en dehors de la racine du serveur, sur la machine elle même. On trouve dès lors un répertoire dans lequel est stocké une copie du fichier SAM.

Qu'auraient dû faire les admins de Bull.co.uk?

A notre avis (et cela n'engage que nous), ils auraient dû virer ce fichier et patcher le problème (cf advisory du mois de janvier de Guninski).

Ils ne l'ont pas fait puisque le fichier SAM est toujours accessible.

Mais!!!!

Car il y a un mais... Les admins de Bull expliquent sans rire que:

- décrypter les mots de passe serait très compliqué (on tremble devant les millions de jours qu'il faudrait...)
- les ports de la machine sont fermés (ah? Mais c'est le moins qu'ils aient pu faire au moment où ils ont reçu notre mail, de fermer tous les ports. Dieu sait s'ils l'étaient avant.)

Enfin, comme nous objections en fin de journée mardi que le fichier SAM était toujours disponible, on nous a répondu que l'installation d'une nouvelle version de Lotus Domino n'ayant pas réglé le problème, "ils ont   fait autre chose". On en saura pas plus. Mais le fichier SAM est toujours là.

Zdnet.co.uk a fait un petit papier sur cette histoire. On y retrouve le point de vue de Bull qui est décrit ci-dessus, ce qui est d'autant plus logique que nous l'avions nous-mêmes communiqué au journaliste. En revanche, on trouve un truc plus rigolo. Selon Ollie Whitehouse managing security architect with @Stake (on mobilise de ces légendes, dites donc...) la vulnérabilité est là mais "a technical flaw such as this does not in itself mean insecurity. It is important to mention that these passwords would potentially have been old. If Bull had a good password policy in place, changing passwords every month or so, the risk would have been relatively low." ". En clair, si Bull a une bonne gestion de la sécurité, et change ses passwords tous les mois, pas de problème. Sauf que nous avons été assez bien habitués (voir la saga) par Bull pour penser que ce n'est pas forcément le cas...

;)

La suite au prochain numéro (peut-être)...

Kitetoa

 

Liens de navigation

Naviguer, lire....

Page d'accueil

Nouveautés

Le Sommaire
de
Kitetoa

(orientation...)

Communiquer...

Le Forum
Kitetoa-blah-blah

Nous écrire

Les mailing-lists

Les stats du serveur

Qui sommes-nous?

Les rubriques!

Les livres publiés par Kitetoa

Les interviews

Kit'Investisseurs

Fonds d'écran et autres trucs

Les rubriques!
(suite)

KitEcout'

KessTaVu?-KiteToile

Voyages

la malle de Kitetoa
(vieilleries du site)

Les dossiers

Le monde fou des Admins

Tati versus Kitetoa

Tegam versus Guillermito

Malade mental...

Qui est Jean-Paul Ney,
condamné pour
menaces de mort
réitérées contre Kitetoa?

Le texte de la condamnation
de Jean-Paul Ney
(résumé html)
(complet pdf)

Malade mental, bis repetita

Jean-Paul Ney condamné
pour diffamation
à l'encontre du webmaster
de Kitetoa.com

Condamnation de Jean-Paul Ney
pour diffamation (pdf)

D'autres choses...

Aporismes.com

Statisticator

L'association Kite-Aide

Rechercher...

Rechercher
sur le site

et sur le Net...

Jean-Paul Ney

Jean-Paul Ney