[Kitetoa, les pizzaïolos du Ouèb

Les serveurs du gouvernement ont aussi des trous de sécurité de base.

  navbar gouvernement
Sommaire du dossier
Le tableauz des serveurs publics
Et dans le secteur privé?
Liens utiles
Lionel Jospin met Internet à toutes les sauces et comme le Président ou ses prédécesseurs. Il veut faire entrer les NTIC dans l'administration. Oui, mais comment? Kitetoa s'est promené sur le site du Premier ministre. Nous sommes tombés sur une liste de sites publics.

Nous avons donc regardé à quoi ressemblent ces serveurs.

Souvenez-vous, nous avions déjà contacté (il y a des mois) la mission interministérielle chargée de la mise en place des NTIC dans l'administration pour leur signaler des problèmes comme ceux du ministère de la Santé ou de l'Assemblée Nationale.

Peu de choses ont  été faites. Le ministère de la Santé a bien tenté une petite amélioration de son bidule et pendant ce temps, c'est le ministère des Affaires étrangères qui a planté l'installation de son nouveau serveur.

Nous sommes heureux que le Premier ministre souhaite développer l'usage des NTIC. Toutefois, nous ne pouvons que craindre la mise en place de serveurs reliés à Internet, eux-mêmes reliés à des bases de données contenant des données qui devraient rester privées. Car enfin... Si les services techniques gouvernementaux ne sont pas capables d'éviter deux ou trois bugs de base, sauront-ils éviter de vrais gros problèmes qui ne sont bien entendu pas exposés dans "Internet Professionnel" ou "Netsurf"?

Encore une fois, si vous ne savez pas conserver nos données personnelles dans un endroit sur, ne les collectez pas. Ou alors, ne reliez pas vos serveurs à quoi que soit.

Vous allez lire une sorte de tableau qui reprend la liste des serveurs exposés sur le site du Premier ministre. Jeunes excités des exploits, notez avant de lancer tous vos scanners, que les responsables de ces serveurs ont été prévenus par nos soins de leurs problèmes. Il est vrai qu'un serveur comme celui des Affaires étrangères n'a tenu (presque) aucun compte de nos différents mails. A l'époque où nous leurs avions signalé que la balade dans les répertoires du serveur était possible, il n'y avait rien de très important dans ces répertoires. Ce qui doit expliquer leur peu d'empressement à mettre un terme à ce problème. Toutefois, on ne sait jamais de quoi demain est fait. Et voyez-vous, apparaît aujourd'hui un fichier intitulé "passwd". Pour l'instant il ne semble pas qu'il y ait quoi que soit d'intéressant pour un pirate dans ce fichier. Mais demain? Une telle attitude, pour le moins désabusée, n'est peut-être pas celle de tous les responsables de serveurs que nous avons prévenus et vous risqueriez, à trop essayer vos scanners, de vous retrouver devant un juge. Ce qui peut gâcher votre journée.

Certains nous disent: "oui, bon, Kitetoatoa, ton truc c'est bien, mais on ne peut rien en faire, on n'entre pas dans le serveur avec ton bidule qui liste le contenu des répertoires, bref ça pue!". Bon... Le fait de lister les directories est intéressant car cela apporte des tonnes d'informations sans trop de boulot. Exemples: les logs et donc les connexions d'utilisateurs référencés (user ID par exemple au ministère de la Santé) ou les I.P internes du réseau... Un premier gros pas vers un piratage du serveur. Mais ce truc permet aussi, parfois, comme pour la CPR/E*Trade ou une très grosse banque française, de tomber sur le fichier qui renferme les mots de passe. Qu'est-ce que cela peut apporter d'autre? Des liaisons vers certains types de bases de données comme chez www.directfinance.com. Par ailleurs, cette action démontre qu'un bug de base n'a pas été pris en compte par l'installateur de la merveille technologique qu'est ce serveur Web. Le reste ne doit pas être mieux. Demandez à un expert sécurité de se pencher sur le serveur et il y a 9 chances sur 10 qu'il découvre un bug majeur exploitable. Ne parlons même pas de l'état général du réseau en termes de sécurité...

Abordons maintenant la méthode utilisée par Kitetoa pour ce tableau:

Nous avons testé le listing des directories, l'affichage de la page d'administration à distance du serveur pour les serveurs Netscape et le bug d'IIS découvert par www.eEye.com en juin dernier. Notez que sur ce dernier point nous ne pouvons garantir à 100% la présence de ce bug puisque nous n'avons pas vérifié en montant le cheval de Troie sur le serveur. Reste que s'ils y sont sujets, ces serveurs sont à la merci de n'importe quel script kiddie.

Allez, passons au tableau. Finalement, c'est quand même pour cela que vous êtes venus sur cette page. Non?

Kitetoa

 

Liens de navigation

Naviguer, lire....

Page d'accueil

Nouveautés

Le Sommaire
de
Kitetoa

(orientation...)

Communiquer...

Le Forum
Kitetoa-blah-blah

Nous écrire

Les mailing-lists

Les stats du serveur

Qui sommes-nous?

Les rubriques!

Les livres publiés par Kitetoa

Les interviews

Kit'Investisseurs

Fonds d'écran et autres trucs

Les rubriques!
(suite)

KitEcout'

KessTaVu?-KiteToile

Voyages

la malle de Kitetoa
(vieilleries du site)

Les dossiers

Le monde fou des Admins

Tati versus Kitetoa

Tegam versus Guillermito

Malade mental...

Qui est Jean-Paul Ney,
condamné pour
menaces de mort
réitérées contre Kitetoa?

Le texte de la condamnation
de Jean-Paul Ney
(résumé html)
(complet pdf)

Malade mental, bis repetita

Jean-Paul Ney condamné
pour diffamation
à l'encontre du webmaster
de Kitetoa.com

Condamnation de Jean-Paul Ney
pour diffamation (pdf)

D'autres choses...

Aporismes.com

Statisticator

L'association Kite-Aide

Rechercher...

Rechercher
sur le site

et sur le Net...

Jean-Paul Ney

Jean-Paul Ney