Licence CC BY-NC-SA

« La cybersécurité de zéro » : venez participer et gagner un exemplaire !

Le troisième livre issu en partie de ZdS est sorti plus tôt cette année !

Sorti le jeudi 2 mai 2024, le livre La Cybersécurité de Zéro a été écrit par Vincent Sénétaire, Titouan Soulard, ainsi que par Nicolas Lepotier. Ce livre est la continuité des Réseaux de Zéro, paru il y a maintenant plus de deux ans, et adaptation du tutoriel éponyme sur Zeste de Savoir.

En plus d’une grande part de contenu exclusif, ce nouveau livre contient notamment une adaptation du tutoriel sur le chiffrement RSA écrit par Dominus Carnufex (ancien membre de ZdS, avec son accord bien évidemment), et quelques morceaux adaptés depuis les Réseaux de Zéro.

Cet ouvrage vous détaille les principaux enjeux de la cybersécurité. Qui est concerné ? Comment peut-on mettre en œuvre des attaques ? Quelles en sont les conséquences sociales et économiques ? Comment se prémunir et s’en défendre ? Quel que soit votre niveau, ce livre vous permettra d’appréhen­der le domaine de la cybersécurité, d’évoluer dans ce dernier et vous aidera à préparer des certifications très prisées sur le marché du travail (certifications Cisco CCNA, StormShield, MOOC ANSSI).

En partant de concepts généraux, vous avancerez vers des concepts techniques au fil de la Sainte Trinité : disponibilité, confidentialité, intégrité. La cryptographie, les virus informatiques, les fuites de données ou encore les environnements virtuels sécurisés sont autant de thèmes qui ne seront plus un mystère.

Remportez un exemplaire du livre !

Nous vous offrons trois possibilités de remporter un exemplaire du livre par tirage au sort !

Puisque vous êtes ici, vous pouvez participer en commentant ce billet : racontez-nous une anecdote de cybersécurité (personnelle ou non) qui vous a marqué·e !

Un tirage sera également fait sur X et sur Mastodon parmi les personnes ayant répondu au, et partagé le, message du concours ; et qui suivent le compte de Zeste de Savoir sur la plateforme concernée.

Le jeu-concours a lieu du 18 septembre au 25 septembre 2024. Tirage le 25 septembre.

Gagnez la suite du précédent — La cybersécurité de zéro ! RT + follow + répondez à @ZesteDeSavoir sur X ; ou RT + follow + répondez à @ZesteDeSavoir@framapiaf.org ; ou commentez cet article

Règlement

Règlement officiel du jeu-concours “La cybersécurité de zéro” par Zeste de Savoir

ARTICLE 1 – ORGANISATEUR ET DURÉE DU JEU-CONCOURS

Zeste de Savoir, dont le siège social est situé à Levallois-Perret (ci-après l’« Organisateur ») souhaite organiser un jeu-concours intitulé « JEU CONCOURS – La cybersécurité de zéro » dont les gagnant⋅e⋅s seront désigné⋅e⋅s par tirage au sort dans les conditions définies ci-après. Le jeu-concours de type “loterie” se déroulera du mercredi 18 septembre à midi au mercredi 25 septembre 2024 à midi (date et heure française de connexion faisant foi).

Cette opération n’est ni parrainée, ni organisée par X ou Mastodon.

ARTICLE 2 – CONDITIONS DE PARTICIPATION AU JEU-CONCOURS

2.1. Le jeu-concours est gratuit et ouvert à toute personne physique âgée de plus de 13 ans, résident en France et à l’étranger, quelle que soit sa nationalité, à l’exclusion de toutes les personnes ayant directement ou indirectement participé à l’élaboration du jeu-concours, et des organisateurs du concours (l’équipe de communication de l’association Zeste de Savoir). Tout participant⋅e mineur⋅e doit néanmoins obtenir l’autorisation préalable de l’un de ses deux parents ou de son tuteur légal pour participer au jeu.

2.2. La participation au jeu-concours implique l’acceptation irrévocable et sans réserve, des termes et conditions du présent règlement (le « Règlement »), disponible sur la page de Zeste de Savoir de l’article d’annonce du jeu concours à l’adresse internet: https://zestedesavoir.com/billets/4739/la-cybersecurite-de-zero-venez-participer-et-gagner-un-examplaire/

2.3. Le jeu-concours est limité à une seule participation par personne par plateforme (par exemple, même nom, même prénom et même adresse mél). La participation au jeu-concours est strictement personnelle et nominative. Il ne sera attribué qu’un seul lot par personne désignée gagnante.

2.4. Le non-respect des conditions de participation énoncées dans le présent Règlement entraînera la nullité de la participation du Participant ou de la Participante.

2.5 Le jeu est soumis à la réglementation de la loi française applicable aux jeux et concours.

ARTICLE 3 – PRINCIPE DE JEU-CONCOURS/MODALITÉS DE PARTICIPATION

Ce jeu se déroule sur X (x.com), sur Mastodon (framapiaf.org) et sur le site web de Zeste de Savoir (zestedesavoir.com), aux dates indiquées dans l’article 1. Pour valider sa participation, chaque participant⋅e doit (selon la plateforme de jeu) :

§ sur X et Mastodon, suivre le compte @ZesteDeSavoir, répondre au message de Zeste de Savoir annonçant le concours  et partager le message de Zeste de Savoir annonçant le concours, en répondant à la consigne précisée dans les-dits messages ;

§ sur le site web de Zeste de Savoir, commenter l’article annonçant la publication du livre et le concours, en répondant à la consigne précisée dans le-dit article.

Chaque internaute en s’inscrivant au jeu pendant la période définie obtient une chance d’être tiré au sort.

L’Organisateur se réserve le droit de disqualifier, à sa seule et entière discrétion, toute participation jugée inappropriée ou non conforme au règlement officiel du concours.

ARTICLE 4 – DÉSIGNATION DES GAGNANT⋅E⋅S

L’Organisateur désignera par tirage au sort les gagnant⋅e⋅s, parmi l’ensemble des personnes s’étant inscrites. Un tirage au sort sera effectué le mercredi 25 septembre à partir de 18h.

Un seul lot sera attribué par gagnant⋅e (même nom, même adresse)

ARTICLE 5 – DOTATIONS

Les dotations des tirages au sort sont les suivantes :

§ 3 lots constitués de 1 livre La cybersécurité de zéro, un lot étant gagné sur chacune des trois plateformes du jeu-concours.

ARTICLE 6 – REMISE DES DOTATIONS ET MODALITÉS D’UTILISATION DES DOTATIONS

L’Organisateur du jeu-concours contactera par la messagerie privée de Zeste de Savoir (pour les participations sur le site zestedesavoir.com) ou par message direct sur X et Mastodon (pour les participations sur x.com et framapiaf.org ou autres services du fédiverse interagissant et interopérables avec framapiaf.org, respectivement) les gagnant⋅e⋅s tiré⋅e⋅s au sort et les informera de leur dotation et des modalités à suivre pour y accéder. Aucun message ne sera adressé aux participant⋅e⋅s n’ayant pas gagné, seuls les gagnant⋅e⋅s seront contacté⋅e⋅s. Les gagnant⋅e⋅s devront répondre dans les sept (7) jours suivants l’envoi de ce message et fournir leurs coordonnées postales complètes. Sans réponse de la part du gagnant⋅e dans les sept (7) jours suivants l’envoi de ce courrier électronique, iel sera déchu⋅e de son lot et ne pourra prétendre à aucune indemnité, dotation ou compensation. Dans cette hypothèse, les lots seront attribués à un⋅e suppléant⋅e désigné⋅e lors du tirage au sort de la session concernée. Les gagnant⋅e⋅s devront se conformer au présent règlement. S’il s’avérait qu’iels ne répondent pas aux critères du présent règlement, leur lot ne leur sera pas attribué et sera acquis par l’Organisateur. À cet effet, les participant⋅e⋅s autorisent toutes les vérifications concernant leur identité, leur âge, leurs coordonnées ou la loyauté et la sincérité de leur participation. Toute fausse déclaration, indication d’identité ou d’adresse postale fausse entraîne l’élimination immédiate du participant⋅e et l’acquisition du lot par l’Organisateur.

En outre, en cas d’impossibilité pour l’Organisateur de délivrer aux gagnant⋅e⋅s la dotation remportée, et ce, quel qu’en soit la cause, L’Organisateur se réserve le droit d’y substituer une dotation de valeur équivalente, ce que tout participant⋅e consent.

ARTICLE 7 – ANNONCE DES GAGNANT⋅E⋅S

Les gagnant⋅e⋅s seront annoncé⋅e⋅s respectivement sur les plateformes Zeste de Savoir (zestedesavoir.com), X (x.com) et Mastodon (framapiaf.org), pour les participations respectives sur ces trois plateformes.

ARTICLE 8 – GRATUITE DE LA PARTICIPATION

La participation requière une connexion internet qui ne pourra donner lieu à aucun remboursement dans la mesure où l’abonnement aux services du fournisseur d’accès est contracté pour le compte de l’internaute et pour son usage de l’Internet en général (abonnement ou forfait mensuel). Les autres connexions Internet ou de communication locale en vue de la participation au jeu-concours ou à la consultation en ligne du règlement, seront remboursées sur la base d’un forfait de 0,20 euros, sur présentation des justificatifs correspondants et sur simple demande écrite par tout participant⋅e à l’adresse mél du jeu-concours figurant à l’article 11 du présent règlement. La demande de remboursement devra être faite à l’adresse mél du jeu-concours et indiquer le nom, prénom, et adresse mél personnelle du participant⋅e accompagnée de la facture Internet détaillée correspondant à la date et heure de participation pour permettre toute vérification, en y joignant ses coordonnées bancaires (RIB, RIP, IBAN, ou autre). Il ne sera effectué qu’un seul remboursement par participant⋅e (même nom, même adresse électronique et/ou même adresse postale).

ARTICLE 9 – UTILISATION DES DONNÉES PERSONNELLES DES PARTICIPANTS

Toute information personnelle que vous fournissez au à l’Organisateur sera soumise à sa politique de confidentialité affichée sur le site https://zestedesavoir.com/pages/cgu/, à l’article 6. Conformément à la loi Informatique et Libertés du 6 janvier 1978, les participant⋅e⋅s au jeu-concours bénéficient auprès de l’Organisateur, d’un droit d’accès, de rectification (c’est-à-dire de complément, de mise à jour et de verrouillage) et de retrait de leurs données personnelles. Les informations personnelles des participant⋅e⋅s sont collecté⋅e⋅s par l’Organisateur uniquement à des fins de suivi du jeu-concours, et sont indispensables pour participer à celui-ci.

ARTICLE 10 – RESPONSABILITÉ

L’Organisateur ne saurait voir sa responsabilité engagée du fait de l’impossibilité de contacter chaque gagnant⋅e⋅s, de même qu’en cas de perte, de vol ou de dégradation du lot lors de son acheminement. L’Organisateur ne pourra non plus être responsable des erreurs éventuelles portant sur le nom, l’adresse et/ou les coordonnées communiqués par les personnes ayant participé au jeu-concours. Par ailleurs, l’Organisateur du jeu-concours décline toute responsabilité pour tous les incidents qui pourraient survenir lors de la jouissance du prix attribué et/ou fait de son utilisation et/ou de ses conséquences, notamment de la jouissance d’un lot par un⋅e mineur⋅e, qui reste sous l’entière et totale responsabilité d’une personne ayant l’autorité parentale. L’Organisateur se réserve le droit, si les circonstances l’exigent, d’écourter, de prolonger, de modifier, d’interrompre, de différer ou d’annuler le jeu-concours, sans que sa responsabilité ne soit engagée.

Toutefois, toute modification fera l’objet d’un avenant qui sera mis en ligne sur le site de Zeste de Savoir (zestedesavoir.com) dans l’article d’annonce. L’Organisateur se dégage de toute responsabilité en cas de dysfonctionnement empêchant l’accès et/ou le bon déroulement du jeu-concours notamment dû à des actes de malveillances externes.

L’utilisation de robots ou de tous autres procédés similaires permettant de participer au jeu-concours de façon mécanique ou autre est proscrite, la violation de cette règle entraînant l’élimination définitive de son/sa réalisateur⋅trice et/ou utilisateur⋅trice. L’Organisateur pourra annuler tout ou partie du jeu-concours s’il apparaît que des fraudes sont intervenues sous quelque forme que ce soit, notamment de manière informatique dans le cadre de la participation au jeu-concours ou de la détermination des gagnant⋅e⋅s. Il se réserve, dans cette hypothèse, le droit de ne pas attribuer les dotations aux fraudeurs⋅euses et/ou de poursuivre devant les juridictions compétentes les auteurs⋅trices de ces fraudes.

ARTICLE 11 – ADRESSE DE COURRIEL DU JEU-CONCOURS

Pour demande de remboursement conformément à l’articles 8, ou toute contestation relative au jeu-concours prévue à l’article 1 du présent règlement, l’adresse de courriel destinataire des courriers correspondant est mentionnée ci-dessous :

Équipe de communication de l’association Zeste de Savoir – communication@zestedesavoir.com

ARTICLE 12 – LOI APPLICABLE

Les participant⋅e⋅s admettent sans réserve que le simple fait de participer à ce jeu-concours les soumet à la loi française. Toute contestation doit être adressée à l’adresse mentionnée dans l’article 11 au plus tard le 28 septembre 2024 à midi.


25 commentaires

Voici deux anecdotes.

Base64 en tant que cipher

Dans ma première entreprise, nous étions amenés à collaborer avec des équipes d’autres sociétés, avec lesquelles il fallait se mettre d’accord pour faire des API entre nous.

À cette époque, le mouvement du "HTTPS everywhere" n’était pas encore bien amorcé, on voyait encore hélas pas mal d’API en clair, comme les nôtres et celles de nos correspondants. Après tout, « c’était que pour de l’interne ».

Conscient de ce problème, notre interlocuteur nous propose d’échanger des messages JSON qui seraient d’abord encodés en Base64, car « c’est plus sûr ». Pour éviter de rentrer dans les jeux politique, nous avions accepté sa proposition, avec un beau face palm.

Réutiliser les nonces, c’est ok !

Exemple plus récent. Stocker des tokens client dans une base de données, mais chiffrés. Dit comme ça, ça a l’air simple. Mais il y a plus de pièges qu’on ne le pense.

  • Quel algorithme utiliser ? Nous nous mettons d’accord sur ChaCha20.
  • Utiliserons-nous une même clé pour chiffrer tous les tokens ? Oui (pas idéal sans mécanisme d’authentification avec associated data, mais soit)
  • Utiliserons-nous le même nonce pour éviter de le stocker dans une nouvelle colonne ? Oui (!)

On peut déjà mettre en question le choix d’utiliser un mécanisme sans authentification (qui aurait été ChaCha20-Poly1305 pour garder le même cipher), mais à la limite, on peut toujours garantir la confidentialité des données.

Mais ré-utiliser le même couple (clé, nonce), c’est une grosse bêtise ! Un simple XOR suffit alors à ébranler la confidentialité d’un message chiffré si jamais on a connaissance d’un message en clair initial.

P.-S. : Je ne participe pas au concours, car j’ai déjà lu le livre ;)

+1 -0

Je ne suis pas éligible, et pas dans l’informatique non plus, mais voici une petite anecdote.

Au travail, on développait un logiciel qu’on devait parfois envoyer à des clients ou partenaires. Pour s’assurer que le code arrivait tel qu’on l’envoyait, on faisait un md5sum sur les fichiers. Un des dév (pas de métier, par nécéssité) a suggéré d’intégrer le résultat directement au code source, pour faciliter la vérification…

Vous savez ce qui est vraiment dangereux ?

Les conneries créatives. Celles qui ne sont pas détectées par les outils de scans de vulnérabilité, parce que, eh bien personne ne fait ça. Concrètement, ça veut dire qu’à moins d’inspecter le code, aucun outil automatique ne lèvera d’alerte ; et ce même si la faille est béante, triviale à découvrir et à exploiter.

Dis-moi quel rôle tu veux avoir

Il était une fois une API ouverte sur Internet mais privée, sécurisée avec des JWT. Sauf que voilà : valider des JWT et en extraire le rôle, c’est chiant à faire. Ce qu’il est beaucoup plus simple de faire, c’est de prendre un query param en entrée qui demande le rôle.

Et donc, il suffisait d’ajouter ?role=admin à l’URL d’appel pour être admin.

Même sans fournir de JWT valide.
Même sur le tout premier appel à l’API, en étant un parfait inconnu pour le système.
En production.
Sur Internet.
Sur un projet qui passait les audits automatiques de sécurité.
Après 2010.

On est d’accord que ça n’aurais jamais dû passer les contrôles internes de qualité de code ; mais quand on rogne tellement sur les couts que plus personne dans l’équipe de développement ne comprends ce qu’il fait (dans le sens :  « aucun membre de cette équipe n’a les compétences réelles pour faire du développement logiciel, même en tant que débutant »), voilà le genre de chose qu’on obtient.

J’ai travaillé dans une petite PME à Marseille.

La zone industrielle était connectée à Internet via un ADSL au débit anémique et aucun plan pour le fibrer prochainement. Cela nous limitait grandement dans nos développements.

Le patron de la PME habitait non loin de là et son appartement était fibré. On a installé une antenne directionnelle pour établir un lien direct entre sa connexion privée depuis son balcon et l’entreprise afin d’avoir un débit acceptable. L’installation fonctionnait bien et c’était vraiment confortable au quotidien.

Puis un jour, je vais sur le site d’orange.fr pour vérifier quelque chose concernant l’abonnement chez moi. Et surprise, comme cette requête émanait du réseau de mon patron, la session était automatiquement associée à celle de mon patron sans introduire un quelconque mot de passe. Théoriquement on pouvait consulter les factures ou courriels associés à son compte auprès du FAI.

En dehors de prévenir le patron il n’y avait pas grand chose à faire de notre côté. Je crois qu’il y avait une parade pour éviter cet effet, et que depuis ce n’est plus d’actualité de toute façon, mais vaste blague de la part d’un FAI.

+0 -0

Et surprise, comme cette requête émanait du réseau de mon patron, la session était automatiquement associée à celle de mon patron sans introduire un quelconque mot de passe. Théoriquement on pouvait consulter les factures ou courriels associés à son compte auprès du FAI

Ça a été le cas sur l’espace Free Mobile pendant un moment. Si tu étais connecté en cellulaire, tu étais automatiquement connecté à ton espace client. Y compris en cas de partage de connexion.

Un des 10 sites les plus fréquentés en France proposait une fonction pour contacter les autres membres pour des petites annonces : un champs message et un champs mail, pour que l’autre personne nous réponde.

Petit à petit ils ont voulu faire rester les gens sur la plateforme et faire une messagerie interne, sans les mails.

Pendant la période de transition, on avait la messagerie interne si on était connecté, où l’on voit le pseudo et le compte de notre interlocuteur. Si on était pas connecté, on pouvait toujours envoyer un message en rentrant notre mail, que l’on ait un compte…. ou pas.

Avec le mail de quelqu’un il suffisait de s’envoyer un message à soi même, puis de se connecter et de regarder le profil de la personne qui "venait de nous contacter" via la messagerie interne, pour avoir accès à son pseudo, parfois/souvent la possibilité d’avoir son numéro de téléphone et son adresse s’il avait des annonces :-° !

Pendant 9 mois je les ai harcelés par plusieurs moyens de contact avec que ça soit patché (en supprimant la possibilité de discuter sans compte :( ), impossible d’avoir un interlocuteur qui réalisait la gravité du problème…

+5 -0

J’ai eu l’occasion de travailler sur un des sites web d’une entreprise de sécurité informatique. Pour mettre en ligne les mises à jour, on devait s’authentifier sur un de leurs outils, et notre mot de passe (personnel, pas "d’entreprise"), devait être changé fréquemment, par nos soins.

Un beau matin de mise en production, voilà que je dois changer mon mot de passe. Je suis la procédure et en définis un qui remplit les (nouveaux) critères de sécurité. Mais au moment de me connecter, cela ne fonctionne pas. Je retente jusqu’à être bloqué, et je dois contacter le responsable, qui ne comprend pas la raison de l’échec. Il me réhabilite et me transmets un nouveau mot de passe généré par ses soins. Cela ne fonctionne pas non plus. Et à la dernière tentative avant d’être à nouveau bloqué, je note que le précédent contient un caractère bien précis. Et que le nouveau a ce même caractère au début. Bloqué pour bloqué, je tente de ne mettre aucun mot de passe. Le formulaire n’accepte pas cette possibilité, mais cela ne me bloque pas au niveau du système. Voulant tester jusqu’au bout, je tente avec un mot de passe complètement bidon, mais toujours avec ce caractère au début.

Ça fonctionne.

Toujours au téléphone avec le responsable, j’explique ce que j’imagine : le caractère en question fait que dès qu’il est rencontré au niveau du mot de passe, celui-ci et ce qui le suit est ignoré à un moment où un autre, similaire aux navigateurs qui n’envoient pas au serveur la partie #… de l’URL lors de la navigation. Le responsable effectue un test depuis une interface qui accepte que le champ de mot de passe soit vide, et le résultat semble montrer que dans toute la chaîne de validation, c’est un des derniers maillons qui pose problème.

Cela aurait été sans grande conséquence si ces derniers maillons n’avaient pas une place très importante dans les systèmes de sécurité du réseau et des infrastructures de ladite entreprise… et le portail auquel nous avions accès était destiné à tous les partenaires, et ils venaient d’avoir des problèmes avec l’un d’entre eux, d’où les nouvelles directives sur la composition du mot de passe.


Pour l’anecdote, ils ont après cela rapidement exprimé leur volonté d’internaliser le développement du site, et comme c’était ma mission principale, j’ai dû retrouver autre chose. Quelques temps plus tard, un homonyme me contacte par LinkedIn, notamment parce qu’en plus d’avoir les mêmes nom et prénom, on travaille dans le même domaine. En regardant son profil, je note qu’il a été embauché dans l’entreprise de sécurité un ou deux mois après mon départ de l’entreprise qui en gérait le site…  :D

+4 -0

Un ami à moi en stage dans un labo avait besoin de tester des trucs régulièrement, donc installer des bibliothèques etc, mais n’était pas admin de sa machine. Il devait aller chercher son encadrant à chaque fois, c’était super chiant. Pire, d’autres arrivés après lui l’était, parce que la politique interne sur le sujet changeait tout le temps.

Un jour, il a demandé à son encadrant de mettre à jour sa machine (sous linux, faut être admin). Il est passé par la ligne de commande avec un truc du genre "sudo apt update" au lieu de l’interface graphique. L’encadrant a juste dit qu’il avait plus l’habitude de l’UI, mais a entré son mot de passe. Ceci étant fait, il est parti. Le stagiaire a alors stoppé les mise à jour et profité que les droits sudo durent 5 minutes pour s’ajouter en sudoer (donc admin de fait) de sa machine.

Il n’a plus jamais embêté son encadrant avec les logiciels à installer ou les mises à jour.

+4 -0

Dans un ancien job, un collègue stockait sur son disque dur des dizaines de gigaoctets de résultats d’essais. C’était un statu quo lié à l’inadéquation du "cloud" sensé accueillir ces données face aux besoins pratiques. Le disque devenait trop petit pour continuer à stocker les nouveaux résultats d’essais, mais la demande d’avoir un disque plus grand a été refusée de manière repétée par le service info, vu que c’était le job de la plateforme cloud. Jusque là, ce n’est qu’une histoire de SI de grand groupe classique.

Il est venu un moment où ce disque dur était tellement plein que l’ordinateur ne pouvait plus faire les mises à jour Windows automatiques. Il a fallu purger des fichiers temporaires pour y arriver. Quelques semaines plus tard, l’ordinateur ne pouvait de nouveau plus être mis à jour, le disque étant plein à craquer. Au bout d’environ 6 mois, le service info a fini par traiter le problème : changement de l’ordinateur pour un avec un disque plus gros, et retour des mises à jours. On a donc eu un Windows non patché pendant des mois pour une bête histoire de disque dur à changer. Sachant que c’était aussi un des rares PC avec les ports USB débloqués, très utilisé en télétravail, et donc plus exposé.

Toutes les discussions, demandes et opérations liées à ce problème ont probablement coûté plus cher que l’achat et l’installation d’un deuxième disque dur dans le PC du collègue en premier lieu.

Vous connaissez le SIE ? C’est le Service Impots des Entreprise, qui permet de payer sa TVA, sa CFE et autres démarches qui concernent beaucoup d’entreprises. He bien figurez-vous qu’ils ont été récemment victime d’une fuite de données, par mesure de précaution ils ont alors invalidé les mots de passe et questions de sécurité de tous les comptes concernés (dont le mien vous imaginez bien). J’apprends donc que je dois prendre rendez vous pour aller a mon SIE pour définir un nouveau mot de passe (comme les milliers d’autres cas de cette affaire). Si je ne le fait pas je ne pourrais pas déclarer ma TVA en ligne, et par conséquent l’état me demandera des pénalités…

Rendu au SIE je monte dans le bon bureau et la personne m’explique la procédure. Sur son ordinateur je fait devoir tenter de me connecter à mon compte, mais en rentrant un mot de passe qu’elle va me dicter. Le mot de passe en question ? Une petite phrase rigolote facile a retenir qui leur a été communiqué par mail par le service informatique. Je rentre donc la phrase en mot de passe et cela me permet de définir un nouveau mot de passe et une nouvelle question de sécurité… que je dois aussi taper sur son poste (comme les 10 personnes avant moi). Le SIE : Un mot de passe pour les gouverner tous.

J’ai bien évidemment changé mes infos depuis, si jamais vous avez votre compte bloqué, faites moi signe :D

Comme promis, je participe

la petite anecdote rigolote

Il existe une administration française qui a un portail captif où ils rassemblent toutes les données BI. Ce portail permet de forcer l’authentification, avec MFA and co, et pour les parties les plus sensibles de la BI il me semble avoir même entrevu une authentification par smartcard (après, je sais plus trop, j’étais trop occupé à rire à cause de la chute). Bref, comme toujours avec ce genre de portail, la session saute au bout de x minutes, mais tu sais jamais combien vaut x car ça peut aussi bien être 2 que 200.

En tout cas le nom du portail captif c’est internal.{nom del'administration}.gouv.fr/sexy.

Alors quand tu es en call support avec un client qui t’annonce "attend, je dois aller sur sexy. tu as du mal. beaucoup de mal.

Ah je viens de me souvenir d’une anecdote d’il y a quelques années entre prestataires de paiements.

Une application A installée sur un terminal utilisateur appelait une API B en lui communiquant un jeton de paiement, pour que B débloque des actions auprès de l’utilisateur suite à ce paiement.
Mais B n’avait aucun moyen (ni signature, ni appel en retour) pour vérifier auprès de A que le jeton reçu était valide, la seule authentification étant une clé de l’utilisateur.

N’importe quel utilisateur pouvait alors utiliser sa clé pour appeler l’API B avec un faux jeton de paiement et déclencher les actions liées. Même après moult explications, A ne comprenait pas en quoi ça posait problème.

Il y a quelques années, un client se plaignait de mails de phishing d’un expéditeur usurpant des adresses internes à la société. En analysant les en-têtes, je me suis rendu compte que le test SPF, qui consiste à vérifier que le domaine de l’expéditeur corresponde au serveur qui envoie le message, était en échec mais que les e-mails frauduleux passaient quand même. En discutant avec d’autres équipes, j’ai appris que cette sécurité avait été désactivée pour permettre aux copieurs multifonctions d’envoyer par e-mail des copies numériques en utilisant une adresse interne. Au lieu de configurer correctement le service, quelqu’un a préféré désactiver une sécurité pour que ça fonctionne. Résultat, une vague de phishing qui a fait fuiter des informations comme les codes d’accès entreprise au compte Pôle Emploi de la société, et qui a laissé la possibilité à des tiers de créer de fausses offres d’emploi pour récupérer des données personnelles de candidats (je ne me souviens plus si ce dernier point avait effectivement eu lieu ou si le risque avait seulement été identifié).

C’est juste pour raconter l’anecdote, je ne participe pas au concours.

Il y a quelques années j’étais intervenu pour faire évoluer un site existant. Un bête WordPress pour un événement récurrent (appelons le "site A"), auquel des partenaires pouvaient se connecter, et de là accéder directement à un autre site (pour gérer des fournisseurs ou quelque chose du genre, de mémoire) qu’on appellera "site B".

Sauf que demander aux utilisateurs de se connecter aux deux sites de façon distincte était impensable : il fallait pouvoir se connecter sur le site B sans voir d’interface de connexion.

Alors la solution (créée par les développeurs avant mon arrivée, et dont je n’ai — heureusement pour eux — jamais connu l’identité) était simple :

  • il y avait une nouvelle colonne dans la table users du site A (dans la structure utilisée nativement par WordPress, bonjour le risque de casse avec les mises à jour) pour stocker le mot de passe en clair de l’utilisateur
  • le lien d’accès au site B passait l’email et le mot de passe (toujours en clair) dans l’URL vers une page de "connexion" qui s’occupait de créer la session et rediriger l’utilisateur au bon endroit (pratique pour copier le lien et permettre à n’importe qui d’autre d’être connecté à sa place sur le site B)
  • comme cela ne suffisait pas, aucun des deux sites n’était passé à HTTPS
  • et bien sûr, sinon c’est pas drôle, la base de donnée était accessible via un bon vieux phpMyAdmin (connu pour ses… quelques failles de sécurité) sans VPN avec des identifiants assez simples à deviner et eux-même communiqués en clair entre différentes équipes qui intervenaient sur ce site

Voilà-voilà :-°


Autant vous dire que j’ai un peu remué les brancards dans l’agence qui m’avait sous-traité la mission (et qui me faisait souvent intervenir sur des bases techniques de niveaux similaires : un jour je vous raconterai comment j’ai fait tomber le site d’une grande marque de fringues française en faisant un bête SELECT pour trouver la liste des clients inscrits qui n’avaient jamais validé de commande sur le site parce qu’il y avait aucun index et des clés étrangères avec des types différents entre les colonnes). :zorro:

J’ai du prendre la responsabilité de couper un serveur sur lequel je bossais en freelance parce que j’avais compris qu’il était compromis, et qu’il avait des données possiblement sensibles, et que je n’arrivais pas à joindre le patron pour savoir quoi faire.

Quelques anecdotes perso :

  • Quand j’étais stagiaire en SS2I, j’ai notamment travaillé en support pour un site d’un équipementier militaire. J’ai dû faire des petites interventions et vérifier en prod, on avait un compte de test là-bas. Le compte avait été peuplé avec de vrais documents, j’ai donc pu accéder sans même faire exprès à des documentations militaires, ma mémoire me joue des tours mais je suis à peu près sûr que c’était pas écrit "déclassifié" dessus.
  • Toujours pendant le stage, en mission chez un client où un collègue se rend compte que les numéros de CB des clients étaient enregistrés dans les logs
  • Premier boulot en 2017, dans une multinationale française avec beaucoup d’activités liées à la défense. J’ai entendu qu’ils avaient un contrat spécial avec Microsoft pour maintenir à flot des ordis qui tournaient encore sous Windows XP

Bon et du coup qui c’est qui a gagné, la date est passée les agrumes veulent savoir :D

  • Premier boulot en 2017, dans une multinationale française avec beaucoup d’activités liées à la défense. J’ai entendu qu’ils avaient un contrat spécial avec Microsoft pour maintenir à flot des ordis qui tournaient encore sous Windows XP
melepe

Ce qui me fait penser que certaines stations des chemins de fer suisses avec au moins deux aiguillages utilisaient toujours Windows 95 début 2015. Et je pense qu’il subsiste encore de telles installations en service à l’heure actuelle. Service léger/de manœuvre, certes.

+2 -0

Ce qui me fait penser que certaines stations des chemins de fer suisses avec au moins deux aiguillages utilisaient toujours Windows 95 début 2015.

C’est trop tard pour le concours, mais ça me fait penser… je sais que les distributeurs de billets tournaient à une époque sous MS-DOS. Un jour de 2003, celui de mon village avait un papier "Hors service" collé sur l’écran. Sauf que le papier était mal posé, et par curiosité, je l’avais soulevé un peu pour voir…. et avais vu apparaître un bout d’écran noir avec un texte en gris: "C:\> _".

Je n’en ai jamais eu la preuve, mais on m’a aussi dit la même chose des selecta qu’on pouvait trouver dans à peu près toutes les gares (pour les non suisses: ce sont des automates à boisson/nourriture)

Il y a aussi encore de nombreux bancomats et de systèmes de caisse de supermarchés sur Windows XP voire pire… aujourd’hui…

Ca me fait aussi penser que, malheureusement je n’ai plus les sources, mais il semblerait que les systèmes dans certains avions se mettent toujours à jour via des disquettes.

+1 -0
Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte