Les serveurs du gouvernement ont aussi des trous de sécurité de base. |
|||||
|
Lionel Jospin
met Internet à toutes les sauces et comme le Président ou ses prédécesseurs. Il veut
faire entrer les NTIC dans l'administration. Oui, mais comment? Kitetoa s'est promené sur
le site du Premier ministre. Nous sommes tombés sur une liste de sites publics. Nous avons donc regardé à quoi ressemblent ces serveurs. Souvenez-vous, nous avions déjà contacté (il y a des mois) la mission interministérielle chargée de la mise en place des NTIC dans l'administration pour leur signaler des problèmes comme ceux du ministère de la Santé ou de l'Assemblée Nationale. Peu de choses ont été faites. Le ministère de la Santé a bien tenté une petite amélioration de son bidule et pendant ce temps, c'est le ministère des Affaires étrangères qui a planté l'installation de son nouveau serveur. Nous sommes heureux que le Premier ministre souhaite développer l'usage des NTIC. Toutefois, nous ne pouvons que craindre la mise en place de serveurs reliés à Internet, eux-mêmes reliés à des bases de données contenant des données qui devraient rester privées. Car enfin... Si les services techniques gouvernementaux ne sont pas capables d'éviter deux ou trois bugs de base, sauront-ils éviter de vrais gros problèmes qui ne sont bien entendu pas exposés dans "Internet Professionnel" ou "Netsurf"? Encore une fois, si vous ne savez pas conserver nos données personnelles dans un endroit sur, ne les collectez pas. Ou alors, ne reliez pas vos serveurs à quoi que soit. Vous allez lire une sorte de tableau qui reprend la liste des serveurs exposés sur le site du Premier ministre. Jeunes excités des exploits, notez avant de lancer tous vos scanners, que les responsables de ces serveurs ont été prévenus par nos soins de leurs problèmes. Il est vrai qu'un serveur comme celui des Affaires étrangères n'a tenu (presque) aucun compte de nos différents mails. A l'époque où nous leurs avions signalé que la balade dans les répertoires du serveur était possible, il n'y avait rien de très important dans ces répertoires. Ce qui doit expliquer leur peu d'empressement à mettre un terme à ce problème. Toutefois, on ne sait jamais de quoi demain est fait. Et voyez-vous, apparaît aujourd'hui un fichier intitulé "passwd". Pour l'instant il ne semble pas qu'il y ait quoi que soit d'intéressant pour un pirate dans ce fichier. Mais demain? Une telle attitude, pour le moins désabusée, n'est peut-être pas celle de tous les responsables de serveurs que nous avons prévenus et vous risqueriez, à trop essayer vos scanners, de vous retrouver devant un juge. Ce qui peut gâcher votre journée. Certains nous disent: "oui, bon, Kitetoatoa, ton truc c'est bien, mais on ne peut rien en faire, on n'entre pas dans le serveur avec ton bidule qui liste le contenu des répertoires, bref ça pue!". Bon... Le fait de lister les directories est intéressant car cela apporte des tonnes d'informations sans trop de boulot. Exemples: les logs et donc les connexions d'utilisateurs référencés (user ID par exemple au ministère de la Santé) ou les I.P internes du réseau... Un premier gros pas vers un piratage du serveur. Mais ce truc permet aussi, parfois, comme pour la CPR/E*Trade ou une très grosse banque française, de tomber sur le fichier qui renferme les mots de passe. Qu'est-ce que cela peut apporter d'autre? Des liaisons vers certains types de bases de données comme chez www.directfinance.com. Par ailleurs, cette action démontre qu'un bug de base n'a pas été pris en compte par l'installateur de la merveille technologique qu'est ce serveur Web. Le reste ne doit pas être mieux. Demandez à un expert sécurité de se pencher sur le serveur et il y a 9 chances sur 10 qu'il découvre un bug majeur exploitable. Ne parlons même pas de l'état général du réseau en termes de sécurité... Abordons maintenant la méthode utilisée par Kitetoa pour ce tableau: Nous avons testé le listing des directories, l'affichage de la page d'administration à distance du serveur pour les serveurs Netscape et le bug d'IIS découvert par www.eEye.com en juin dernier. Notez que sur ce dernier point nous ne pouvons garantir à 100% la présence de ce bug puisque nous n'avons pas vérifié en montant le cheval de Troie sur le serveur. Reste que s'ils y sont sujets, ces serveurs sont à la merci de n'importe quel script kiddie.
|
Naviguer, lire.... Le Sommaire |
Communiquer... |
Les rubriques! |
Les rubriques! |
Les dossiers |
Malade mental... Qui est Jean-Paul Ney, Le texte de la condamnation |
Malade mental, bis repetita Jean-Paul Ney condamné Condamnation de Jean-Paul Ney |
D'autres choses... |
Rechercher... et sur le Net... |