Quel comportement adopter ?

Le
(¯`·..Yttrium ...·´¯)
Bonjour ,

Voici les faits :

En pensant accéder par internet à un serveur surlquel je dois intervenir, je
commet une erreur en entrant l'adresse IP, et je me retrouve sur une autre
machine.
Cette machine, appartient à une grand société, et est accessible directement
sur le net en NetBios !!
Tous les disqaues dur sont accessibles par internet, sans aucune protection,
sans qu'aucun mot d epass ne soit demandé.
TOUS les fichiers de l'entreprise sont donc accessibles à n'importe qui; et
vous l'imaginez, certains sont trés probablement à caractère tout à fait
confidentiel

Loin de moi l'idée, de nuire à cette société et de subtiliser ou de détruire
quoi que ce soit, je souhaiterais simplement en informer les gérants, afin
qu'il puissent se protéger et prendre les dispositions nécessaires.

Ma question :

Comment informer les gérant de cette faille de sécurité colossale, sans pour
autant prendre le risque que ceux ci se retournent contre moi au regard de
la loi de 78.
En effet, si je ne dis rien, je ne risque rien, puisque vu l'état des
choses,je ne pense pas qu'il y ait quelqu'un pour varifier les logs, en
revanche, si je souhaite agir honnetement et leur rendre service, je prend
le risque de me retrouver devant un tribunal pour avoir accédé à leur
système.

Précisons toutefois que l'accès n'a nécessité aucune manipulation
particulière.
et la loi précise :" acces frauduleux.."


Ici, tout est ouvert directement à n'importe qui .!!

Merci de vos conseils et avis sur la question.

Salutations.
  • Partager ce contenu :
Vos réponses Page 1 / 5
Trier par : date / pertinence
HelloMan
Le #758564
(¯`·..Yttrium ...·´¯) wrote:

Bonjour ,

Voici les faits :

En pensant accéder par internet à un serveur surlquel je dois intervenir,
je commet une erreur en entrant l'adresse IP, et je me retrouve sur une
autre machine.
Cette machine, appartient à une grand société, et est accessible
directement sur le net en NetBios !!
Tous les disqaues dur sont accessibles par internet, sans aucune
protection, sans qu'aucun mot d epass ne soit demandé.
TOUS les fichiers de l'entreprise sont donc accessibles à n'importe qui;
et vous l'imaginez, certains sont trés probablement à caractère tout à
fait confidentiel

Loin de moi l'idée, de nuire à cette société et de subtiliser ou de
détruire quoi que ce soit, je souhaiterais simplement en informer les
gérants, afin qu'il puissent se protéger et prendre les dispositions
nécessaires.

Ma question :

Comment informer les gérant de cette faille de sécurité colossale, sans
pour autant prendre le risque que ceux ci se retournent contre moi au
regard de la loi de 78.
En effet, si je ne dis rien, je ne risque rien, puisque vu l'état des
choses,je ne pense pas qu'il y ait quelqu'un pour varifier les logs, en
revanche, si je souhaite agir honnetement et leur rendre service, je prend
le risque de me retrouver devant un tribunal pour avoir accédé à leur
système.

Précisons toutefois que l'accès n'a nécessité aucune manipulation
particulière.
et la loi précise :" acces frauduleux.."


Ici, tout est ouvert directement à n'importe qui .!!

Merci de vos conseils et avis sur la question.

Salutations.




Effectivement; la loi est tres claire à ce sujet: tu as commis une
infraction, même si tu as agi par pur hasard, et sans volonte de nuire.

Maintenant plusieurs cas

1) la machine est vraiment démunie de toute protection, et appartient à une
grosse boite, laisse tomber, oublie, ces gars la ne te feront pas de
cadeau, et va prouver que tu n'as rien commis de réppréhensible....!!!
impossible. Tu te manifeste, ils te tombent dessus, et t'accusent des pires
maux.

2) il s'agit peut-être plutôt d'un honeypot de c'te grosse boite

3) Es tu sur qu'il s'agit bien d'un ordi appartenant à une grosse boite
(vérifie l'ip encore une fois)

4) quelqu'un se ferait il passer pour quelqu'un d'autre (spoof)

5) oublie, oublie oublie, efface toute référence à cela, ne te connectes
plus jamais à cette ip, vends tout et pars te réfugier en ouzbékistan,
élève des chèvres.

l'attitude "hé monsieur, j'ai touvé une faille de sécurité dans vos
serveurs, maintenant vous m'embauchez comme chef de la sécurité
informatique" ça marchait dans les années 80, mais plus maintenant. Je
pense que tu es tombé sur un honeypot. Sinon, tu est tombé sur un ordi
d'une boite qui, si elle laisse un ordi en accès libre ne mérite pas un
quelconque intérêt de ta part


@+

Dominique Blas
Le #758565
Bonjour ,

Voici les faits :

En pensant accéder par internet à un serveur surlquel je dois intervenir, je
commet une erreur en entrant l'adresse IP, et je me retrouve sur une autre
machine.
Cette machine, appartient à une grand société, et est accessible directement
sur le net en NetBios !!
Tous les disqaues dur sont accessibles par internet, sans aucune protection,
sans qu'aucun mot d epass ne soit demandé.
TOUS les fichiers de l'entreprise sont donc accessibles à n'importe qui; et
vous l'imaginez, certains sont trés probablement à caractère tout à fait
confidentiel

Loin de moi l'idée, de nuire à cette société et de subtiliser ou de détruire
quoi que ce soit, je souhaiterais simplement en informer les gérants, afin
qu'il puissent se protéger et prendre les dispositions nécessaires.

Ma question :

Comment informer les gérant de cette faille de sécurité colossale, sans pour
autant prendre le risque que ceux ci se retournent contre moi au regard de
la loi de 78.
En effet, si je ne dis rien, je ne risque rien, puisque vu l'état des
choses,je ne pense pas qu'il y ait quelqu'un pour varifier les logs, en
revanche, si je souhaite agir honnetement et leur rendre service, je prend
le risque de me retrouver devant un tribunal pour avoir accédé à leur
système.

Précisons toutefois que l'accès n'a nécessité aucune manipulation
particulière.
et la loi précise :" acces frauduleux.."
Oui mais ça, l'affaire Kitekoa contre Tati a montré en première instance

que les juges avaient du mal à saisir cette nuance.
Heureusement qu'il y a eu un instance suivante.

1er point : tu préviens gentiment les responsables
par un moyen quelconque qu'il s'agisse du courriel (donc
postmaster (et toute autre adresses que tu auras
découvertes) de la faille. Via courriel tu préviens le maximum
de monde surtout aux plus hauts niveaux afin de faire réagir au
plus vite et que la sensibilisation soit au maximum. D'autres
préféreront faire le plus discrètement possible afin que le
responsable ne soit pas mis à mal par sa hierarchie.
Pour ma part je pense que cette attitude était valable il y a
quelques années plus maintenant.
Il y a eu suffisamment de séminaires, d'articles de journaux,
de bouquins, etc . Ca suffit. Un tel comportement est
inacceptable en 2005 et confine à l'irresponsabilité et
l'inconscience.
Bien entendu, via courriel, tu proposes tes services par la même
occasion.

Chose très importante : à moins que soi le porte-parole d'une
grosse entreprise tu veilles bien à rester ANONYME en les
prévenant ainsi (relais de circuit -> proxy -> adresse jetable
utilisée ensuite en redirection depuis Google par exemple).

Autre moyen, parfois plus réactif, le téléphone (3651 depuis une
cabine hein ?), en te faisant passer pour un inspecteur
quelconque [les plus frondeurs se feront passer pour un gendarme
de la BCRCI] souhaitant parler au responsable de la sécurité ou
au responsable informatique)

Accessoirement, si tu en as les moyens, tu envoies un courrier
postal avec AR. Là ce n'est plus anonyme mais ça réagit
davantage.

Accesoirement aussi, si des imprimantes sont visibles et
partageables tu expédies (via relais de circuit)
ton baratin directement sur l'imprimante en 10 exemplaires
et gros caractères. Là ça va réagir je te prie de croire.

Autre media : le fax. Très pratique. C'est anonyme et
consulté par pas mal de monde (tu joins un schéma du réseau
ça fait toujours son effet).

2ème point : si tu n'obtiens aucune réponse d'ici 7 jours (ou 15 jours
c'est selon) tu balances les informations, toujours en mode
super-anonyme, sur le Net. Sans le dire cela va de soi.
Je sais, c'est violent et cela va à l'encontre de pas mal
d'étiquettes mais ça suffit bien les conneries :
des employés qui ne prennent même pas la peine de faire appel
à des compétences adéquates pour sécuriser leur réseau et qui
ensuite viennent se plaindre, c'est terminé.

Selon tes convictions tu peux moduler : prévenir par courriel, attendre
quelques jours puis prévenir par téléphone, fax ou imprimante interposé
par exemple.


db

--

Courriel : usenet blas net

Cedric Blancher
Le #758561
Le Fri, 20 May 2005 12:10:15 +0000, Dominique Blas a écrit :
2ème point : si tu n'obtiens aucune réponse d'ici 7 jours (ou 15 jours
c'est selon) tu balances les informations, toujours en mode
super-anonyme, sur le Net. Sans le dire cela va de soi.


Et qu'est-ce que t'y gagnes ? Qu'est-ce que la communauté y
gagne ? Franchement, à part jouer sa vendetta personnelle, investi par je
ne sais quelle autorité suprême, j'ai du mal à voir l'intérêt de
dénoncer sur la place publique les gens qui ne savent pas configurer
leurs applications...

des employés qui ne prennent même pas la peine de faire appel
à des compétences adéquates pour sécuriser leur réseau et qui
ensuite viennent se plaindre, c'est terminé.


Le problème quand on est incompétent, c'est qu'on a du mal à juger la
compétence qui se disent compétent... Loin de moi l'idée de dire que ce
sont toutes de malheureuses victimes, mais bon, la position "tuez les
tous, root reconnaîtra les siens" me dérange un peu.

Pour en revenir à la question initiale, vu l'air du temps, je me tairais
et passerais à autre chose rapidement. C'est tout de même effrayant d'en
arriver là, mais entre jouer à Mère Thérésa de l'informatique et
risquer un procès, et s'asseoir deux secondes sur ses élans de
générosité, j'ai vite choisi.


--
J'ai bien compris le fonctionnement, merci. Un vote NON est une censure
inadmissible. Je ne vois pas, finalement, ce qui empèche tout un chacun
de créer SON groupe comme on peut créer son site Web.
-+-Rocou in : GNU - Le vote sur Usenet expliqué à mon Neuneu -+-

Fabien LE LEZ
Le #758559
On 20 May 2005 12:10:15 GMT, Dominique Blas
1er point : tu préviens gentiment les responsables
par un moyen quelconque qu'il s'agisse du courriel (donc
postmaster (et toute autre adresses que tu auras
découvertes) de la faille.


.... Et tu te retrouves immédiatement en prison. Sans passer par la
case départ ni toucher 20 000 francs.
Contacter directement l'entreprise concernée, c'est comme faire du
parachute sans parachute : faut pas le faire.

En tout cas, je partage entièrement l'avis de HelloMan : l'OP est déjà
dans l'illégalité puisqu'il a accédé sans permission à une machine ;
il a une chance de s'en sortir s'il se fait oublier.

Accesoirement aussi, si des imprimantes sont visibles et
partageables tu expédies (via relais de circuit)
ton baratin directement sur l'imprimante en 10 exemplaires
et gros caractères.


C'est totalement illégal.

--
Le grand site de la philosophie animale :
(¯`·..Yttrium ...·´¯)
Le #758558
"Fabien LE LEZ"

En tout cas, je partage entièrement l'avis de HelloMan : l'OP est déjà
dans l'illégalité puisqu'il a accédé sans permission à une machine ;
il a une chance de s'en sortir s'il se fait oublier.


A notre quand meme que je n'ai rien fais d'illegal pour acceder à cette
machine.
Tout part d'une erreur.
Je n'ai eu à faire aucune manipulation, aucun forcage, rien de tout cela.
Certes, c'est pas parce que la porte de mon voisin est ouverte que je vai
entrer comme si j'atais chez moi.
Mais si je décide d'entrer c'est sans effraction..
Je pense quand meme qu'il y a une nuance.
Si mon voisin appelle son assurance en disant "ma porte était ouverte on
m'a tout volé..!"
L'assurance ne va t elle pas lui répondre "ben oui, fallait pas laisser
ouvert...tant pis pour vous" ?

Dominique Blas
Le #758250

2ème point : si tu n'obtiens aucune réponse d'ici 7 jours (ou 15 jours
c'est selon) tu balances les informations, toujours en mode
super-anonyme, sur le Net. Sans le dire cela va de soi.



Et qu'est-ce que t'y gagnes ?
Moi rien. Je n'y perds rien non plus.

Qu'est-ce que la communauté y gagne ?
La communauté n'a rien à voir là-dedans du moins directement (*). Elle
n'est pas citée ni de près ni de loin. Elle n'y perd donc rien non plus.

Franchement, à part jouer sa vendetta personnelle, investi par je
ne sais quelle autorité suprême, j'ai du mal à voir l'intérêt de
dénoncer sur la place publique les gens qui ne savent pas configurer
leurs applications...


Il n'y a pas de vendetta personnelle simplement une tentative
d'électro-choc au vu de l'atonie générale.

On ne saisit jamais mieux les enjeux que lorsqu'on comprend le sujet.

Et la sécurité ... tant qu'on n'y a pas été confrontée ... bof.
Les discours lénifiants sont une bonne chose ... pour 20% (en
croissance) de la population des décideurs. Pour les 80% restants
le seul truc qui marche c'est la démo et commme elle est interdite par
défaut par la loi ...
Effectivement on n'est plus dans les années 80.

Le truc qui m'agace est que tout le monde semble se contenter du système
: l'entreprise lambda me balance des tonnes de vers à la seconde mais
bon, c'est comme ça, on n'y peut rien. Je vérifie juste que j'ai mis à
jour mon antivirus et puis voilà. Du coup forcément c'est pire le mois
suivant. Mais bon, c'est comme les impôts, c'est normal, tout augmente.

Ceci dit, je partage l'opinion de HelloMan à savoir qu'il peut s'agir
d'un Honeypot car si ce genre de manifestation était courante il y a
quelques années aujourd'hui je doute qu'elle résiste longtemps.

Mais bon.


Je suis désolé d'être si rude mais si tout le monde y mettait un peu du
sien les choses iraient bien plus vites.
Et par ailleurs, j'ai été confronté récemment à ce genre de comportement
chez un grand compte : je protège à tout va, je protège l'intérieur,
l'extérieur, les chiottes, la buanderie, parce qu'on m'a dit de le
faire, point.
Mais les applis, les dispositifs divers et variés qui traînent ici et là
... Bof.
La réflexion globale ? C'est quoi ? Monsieur, le budget ... vous savez ...
D'où ma réaction quelque peu violente.
Navré.

db

--

Courriel : usenet blas net


Cedric Blancher
Le #758249
Le Fri, 20 May 2005 13:38:22 +0000, Dominique Blas a écrit :
Et qu'est-ce que t'y gagnes ?
Moi rien. Je n'y perds rien non plus.



Ben si : tu t'exposes directement aux ajouts de la LCEN. Et ce sans
vraiment posséder de justification. Parce que le coup de l'électrochoc,
ça risque de bien faire marrer le ministère public :)

Qu'est-ce que la communauté y gagne ?
La communauté n'a rien à voir là-dedans du moins directement (*).

Elle n'est pas citée ni de près ni de loin. Elle n'y perd donc rien
non plus.


Quand tu publies quelque chose, c'est pour faire partager ton savoir à la
communauté. Sinon, quel est l'intérêt de publier ? D'où ma question de
savoir ce que la communauté gagne à savoir que monsieur est
vulnérable... Parce que la situation est très nettement différente de
la diffusion d'une faille, pour laquelle la communauté devient consciente
de la présence de la dite faille. Là, savoir qu'untel ne sait pas
configurer une application et que ça le rend vulnérable... À part faire
marrer les gens au café ou étoffer les talks en conférence, j'ai du mal
à voir.

Il n'y a pas de vendetta personnelle simplement une tentative
d'électro-choc au vu de l'atonie générale.


Se mettre dans l'illégalité pour ça ?! Mettre les gens dans la merde
pour ça ?! ça sent la lose-lose situation ça :)

Excuse-moi de ne pas partager ton enthousiasme... Même si ça m'exaspère
aussi de voir ça et là des gens qui n'en ont rien à faire de leur
sécurité et de l'impact que ça a sur le reste du monde, il n'en reste
pas moins que la fin ne justifie pas les moyens. Ce n'est pas parce que
presqu'à chaque fois que je vais à l'aéroport je tombe sur un mec
vulnérable au RCP/DCOM ou au LSASS (si si, je t'assure) connecté au
hotspot que je vais gueuler au milieu de la salle d'embarquement que le
possesseur du laptop blablabla est un gros nain de jardin ou lui pourrir
son poste pour "lui faire prendre conscience".

En gros, j'aimerais faire en sorte que les gens prennent conscience des
enjeux de la sécurité et donc que leur niveau de sécurité augmente.
Mais par contre, je n'ai pas envie de les exposer encore plus qu'ils ne le
sont sous ce prétexte là, parce que la punition ne va pas dans le sens
de mon but. Les exposer, c'est les faire compromettre rapidement, et in
fine, c'est donner des balles aux méchants, donc faire baisser le niveau
de sécurité global.

On ne saisit jamais mieux les enjeux que lorsqu'on comprend le sujet.


Et se faire pirater son SI, ça aide à comprendre le sujet à ton avis ?
Je préfère remonter une alerte au CERT compétent (dans le sens de
"concerné") qui fera (ou pas) ce qu'il faut. Mais prendre le risque de me
mettre dans la merde. "Vous comprenez monsieur le juge, le monde est
pleins d'abrutis, je les chasse, et lui, il a payé pour tous les autres"...

[snip la rant]

Je suis désolé d'être si rude mais si tout le monde y mettait un peu
du sien les choses iraient bien plus vites.


Au tribunal ? Certainement...


--
OG: Je n'ai jamais vu l'acronyme "APN" et je ne cesse de croiser l'autre.
MB: Il va bien ? Mes nommages à madame sa mère.
-+- in: Guide du Cabaliste Usenet - Changer les noms de groupes fr -+-


Dominique Blas
Le #758248

[...]

5) oublie, oublie oublie, efface toute référence à cela, ne te connectes
plus jamais à cette ip, vends tout et pars te réfugier en ouzbékistan,
élève des chèvres.


C'est vrai j'ai oublié de signaler cette option probablement la plus
sage pour bon nombre de personnes.
Elle est à l'image de l'observation suivante :
je constate que mon voisin bat sa femme régulièrement.

1. J'engueule le voisin ou je le signale à la police :
en risquant de me faire tabasser par le voisin et des potes à
lui au détour d'une ruelle ;
en risquant que la femme maltraitée, malgré un visage tuméfiée,
proteste en arguant que cela ne regarde personne ;
en risquant des emmerdes juridiques (témoignage, etc).

2. Je ne dis rien, je ferme ma gueule, joue l'autruche (régime
général de nos jours ) en risquant, peut-être, un jour,
d'être accusé de non-assistance à personne en danger.

Ca tombe plutôt bien, pour les entreprises il n'y a pas de notion de
non-assistance pour des tiers.


db

--

Courriel : usenet blas net

Nicob
Le #758247
On Fri, 20 May 2005 12:19:08 +0000, Cedric Blancher wrote:

Et qu'est-ce que t'y gagnes ? Qu'est-ce que la communauté y gagne ?


Dans le cas d'une société fournissant un service ou un logiciel et ne
voulant pas "assurer le service après-vente", je comprends mieux le
souhait de vouloir balancer les infos au public (pour protéger les
clients). Mais si ça n'impacte que la boîte en question, bof bof ...

Pour en revenir à la question initiale, vu l'air du temps, je me
tairais et passerais à autre chose rapidement.


Malheureusement, je suis d'accord avec Cédric :-(

Pourtant, j'en ai fait un paquet, des remontées de ce type. Mais là,
c'est trop chaud : pas le goût de finir en martyre et de voir mon site
perso slashdoté en échange de 18 mois de procès et d'une éventuelle
condamnation.

Et si tu as du mal à dormir en sachant toutes ces données personnelles
et/ou ces dossiers top-secret pas sécurisés, il reste le mail *anonyme*
(remailers et tout) au CERT français correspondant.


Nicob

Nicob
Le #758244
On Fri, 20 May 2005 14:00:29 +0000, Dominique Blas wrote:

je constate que mon voisin bat sa femme régulièrement.


Pas comparable, tout simplement.


Nicob

Poster une réponse
Anonyme