Bull place ses documents confidentiels sur un serveur Web public...
Ce sont ses clients qui vont être heureux...

Non, heu, justement, normalement, c'est l'inverse...

Sauf que les responsables de Bull ont choisi de faire comme Cegetel/Vivendi en son temps: mettre a disposition ses documents confidentiels sur un serveur Web public accessible sans identifiant ni mot de passe pour tous les internautes de la planète. D'ailleurs, il y en a pour tous les goûts. Bull a des clients partout.

Pour une raison mystérieuse, il est possible de consulter les fiches dans lesquelles les salariés de Bull consignent les informations concernant les affaires passées ou en cours.

Il est donc possible de voir ce dont notre Gendarmerie nationale a besoin en termes de serveurs et le type d'équipement informatique de nos pandores. Mais si tout cela était franco-français, cela ne serait pas drôle. L'équipe de Kitetoa s'amuse encore des commentaires apportés sur ces fiches par les gens de Bull. On y apprend que L'Etat du New Jersey, très content de sa longue relation avec Bull, n'a pas lancé d'appel à la concurrence pour ses nouveaux serveurs. Bah, normal...

Tout ça pour dire que dans cette histoire, Bull est adepte de la transparence totale!

Full disclosure!

Puisque nous militons pour ça, nous ne pouvons que nous féliciter du ralliement de boites comme Cegetel ou Bull...

Le problème est que les clients de Bull ne sont sûrement pas tout à fait d'accord pour que soient exposés des renseignements très précis concernant leur architecture informatique. Prenons comme exemple les graphiques exposés dans les documents téléchargeables depuis les fiches-clients comme celles de la Gendarmerie, de EDF ou de l'Aérospatiale...

Ce que l'on ne s'explique toujours pas ici, chez Kitetoa, c'est cette volonté paradoxale d'écrire partout (dessus) que les document sont "confidentiel", "pour usage interne uniquement", etc. et de mettre, par ailleurs, tout ça au libre téléchargement...

L'autre question que l'on pourrait se poser est: où sont les alarmes? Bull ne se parle-t-elle pas de sécurité, de VPN et autres gags de ce genre? Mais où sont les sondes? Que font-ils pour se faire signaler la consultation de documents confidentiels par des adresses IP inconnues? Rien... 100% garanti: rien du tout... Oui, mais bon, diront-ils, ce n'est qu'une requête http (simple consultation d'un site Web) alors comment voulez-vous que l'on repère ça? Et bien dans ce cas, la mise en place d'identifiants et de mots de passe pour entrer dans le site n'est peut-être pas superflue...

Nous ne voudrions toutefois pas décourager Bull dans sa démarche visant à se rapprocher de la transparence totale...

Même si nous donnons l'impression du contraire puisque nous leur avions déjà signalé un problème sur leurs serveurs. Le nouveau que nous dévoilons ici démontre donc une volonté, au plus haut niveau de l'entreprise de faire évoluer les mentalités: ouvrons nos dossiers, marchons vers la transparence et les autres entreprises le feront aussi! Avançons tous en coeur vers ce que les économistes abrutis appellent: "la transparence du marché"... Comme dit l'oncle Bernard, si le marché était transparent, cela se saurait depuis longtemps!

Mais revenons à nos moutons. Pardon... A notre Bull...

Que trouve le visiteur ahuri de tant de transparence sur ce serveur? Plein de choses. Et, honnêtement, nous engageons les camarades de Bull à ne pas venir nous raconter le contraire...

Il y a là, les noms des administrateurs. Mais ce n'est rien car de toutes façons, la liste des groupes d'utilisateurs et des utilisateurs est consultable en ligne. On croise également un listing des anciens de Bull. Ca ne vous rappelle rien? Ernst & Young.fr, les manchots qui lancent actuellement en France un service concernant la protection des données... Alors qu'ils affichaient sur le World Wide Web les données personnelles des anciens de E&Y.fr... Chez bull, il est même possible de s'ajouter soi-même... Si vous voulez faire croire que vous avez travaillé là...

Ce qui est amusant c'est de voir des anciens de Bull, les experts des installations de serveurs (visiblement), chez Sema (ils ont merde sur Ze Bank, vous vous souvenez?) ou chez Ernst & Young...

On peut tout de même dire à la décharge de Bull que le serveur mal installé était un serveur Lotus-Domino... De chez les concurrents (IBM) donc. Marrant d'ailleurs...

Dans la liste des clients de serveurs de video, on trouve la Cité des Sciences, mais aussi chez les très nombreux clients Unix, la police russe, la police norvégienne, les gendarmes français...

Ailleurs, ce sont des truc rigolos qui s'offrent au regard du visiteur étonné... Ainsi, il est possible d'ajouter des fêtes nationales sur le serveur où les salariés peuvent connaître les jours fériés dans les pays où le groupe est présent... Etonnant non?

Vous voulez envoyer un mail depuis chez Bull? Facile...

Enfin, Bull, comme toute grosse boite, réalise une revue de presse pour ses troupes. Espérons que cette entreprise paye les royalties aux journaux... Bah... En attendant, elle diffuse au reste du monde via le World Wide Web une revue de presse fournie...

Allez, arrêtons ici la liste des trucs incroyables offert à la curiosité des internautes par Bull... De toutes façon ce n'est pas pire que les milliers de mots de passe et et d'identifiants bancaires fournis par Atos...

Kitetoa

Ce papier a une suite à lire ici...