Atos-Origin et ses serveurs de développement... | |||||||||||
|
Il n'y a pas très longtemps, Kitetoa révélait qu'Atos-Origin avait une fois de plus très bien fait son travail en conservant en ligne une copie non protégée de l'administration du site de La Poste. Ceci donnait dans l'aboslu, un accès aux données personnelles des utilisateurs du service de mail @laposte.net, y compris tous les enfants scolarisés de e-France. Personne ne s'est ému de cette nouvelle péripétie liée à cette belle SSII qu'est Atos-Origin. Bien entendu, le service de presse d'Atos-Origin nous dirait (mais il est généralement totalement muet): "ceci concernait un serveur de développement, totalement déconnecté des bases de données de notre client. A aucun moment, les données personnelles des clients de La Poste n'ont été mises en danger". Gadgetophrase, je t'aime... Mais le problème avec Atos-Origin, c'est que les serveurs de développement mal paramétrés, ils en laissent un peu partout. C'est comme ça que nous étions tombé sur la liste des logins et mots de passe de certains clients de Banque Directe. Atos-Origin les laissait traîner sur un serveur de développement connecté à Internet et sans aucune protection. L'autre jour, nous surfions sur le Net quand nous sommes tombés sur un de ces serveurs de développement. On y trouve des pages invitant à la modification du contenu du serveur. Manquerait plus que ça... Mais Atos-Origin est aussi une SSII d'envergure internationale. Il faut donc que ses techniciens et autres con sultants de génie puissent disposer d'un bureau virtuel. Quoi de plus simple qu'un gentil Intranet? En plus, avec un truc pareil, on se la pête auprès de la presse "spécialisée" et des copains, patrons d'autres grandes entreprises... Il suffit donc de réfléchir à la manière dont des pros tels que les responsables d'Atos auraient pu mettre en place l'accès, sur le Web, à cet Intranet. Fastoche... On rajoute un répertoire sur le site, qu'on appelle heu... source (au hasard), et on fait pointer tout ça vers la machine qui héberge l'Intranet. Pour les neu-neu éventuels, on ajoute une grande page d'explications variées sur comment marche cet Intranet. Pirate, instruis-toi. Au cas où -mais là quand même on a un doute- il y aurait encore plus naze que des neu-neu dans cette entreprise, on ajoute une FAQ (Frequently Asked Questions) au merveilleux format PDF et zou, le pirate sait quelle est la politique de gestion des mots de passe, connaît les noms des responsables de l'Intranet en Europe (fear da S.E. warlodz skillz), la méthode d'envoi des logins/passwords par mail (c'est en forgeant des headers que l'on devient script-kiddy), etc. Ridicule? Oui. Sûrement lorsque l'on connaît un peu l'arrogance des équipes dans ce type de boites. Encore un petit effort... |
Naviguer, lire.... Le Sommaire |
Communiquer... |
Les rubriques! |
Les rubriques! |
Les dossiers |
Malade mental... Qui est Jean-Paul Ney, Le texte de la condamnation |
Malade mental, bis repetita Jean-Paul Ney condamné Condamnation de Jean-Paul Ney |
D'autres choses... |
Rechercher... et sur le Net... |