Quel comportement adopter..?

Le
\(¯`·..Yttrium ...·´¯\)
Bonjour ,

Voici les faits :

En pensant accéder par internet à un serveur surlquel je dois intervenir, je
commet une erreur en entrant l'adresse IP, et je me retrouve sur une autre
machine.
Cette machine, appartient à une grand société, et est accessible directement
sur le net en NetBios !!
Tous les disqaues dur sont accessibles par internet, sans aucune protection,
sans qu'aucun mot d epass ne soit demandé.
TOUS les fichiers de l'entreprise sont donc accessibles à n'importe qui; et
vous l'imaginez, certains sont trés probablement à caractère tout à fait
confidentiel

Loin de moi l'idée, de nuire à cette société et de subtiliser ou de détruire
quoi que ce soit, je souhaiterais simplement en informer les gérants, afin
qu'il puissent se protéger et prendre les dispositions nécessaires.

Ma question :

Comment informer les gérant de cette faille de sécurité colossale, sans pour
autant prendre le risque que ceux ci se retournent contre moi au regard de
la loi de 78.
En effet, si je ne dis rien, je ne risque rien, puisque vu l'état des
choses,je ne pense pas qu'il y ait quelqu'un pour varifier les logs, en
revanche, si je souhaite agir honnetement et leur rendre service, je prend
le risque de me retrouver devant un tribunal pour avoir accédé à leur
système.

Précisons toutefois que l'accès n'a nécessité aucune manipulation
particulière.
et la loi précise :" acces frauduleux.."


Ici, tout est ouvert directement à n'importe qui .!!

Merci de vos conseils et avis sur la question.

Salutations.
  • Partager ce contenu :
Vos réponses Page 1 / 2
Trier par : date / pertinence
Séb.
Le #13754971
(¯`·..Yttrium ...·´¯) a écrit :
Bonjour ,

Voici les faits :

En pensant accéder par internet à un serveur surlquel je dois intervenir, je
commet une erreur en entrant l'adresse IP, et je me retrouve sur une autre
machine.
Cette machine, appartient à une grand société, et est accessible directement
sur le net en NetBios !!
Tous les disqaues dur sont accessibles par internet, sans aucune protection,
sans qu'aucun mot d epass ne soit demandé.
TOUS les fichiers de l'entreprise sont donc accessibles à n'importe qui; et
vous l'imaginez, certains sont trés probablement à caractère tout à fait
confidentiel

Loin de moi l'idée, de nuire à cette société et de subtiliser ou de détruire
quoi que ce soit, je souhaiterais simplement en informer les gérants, afin
qu'il puissent se protéger et prendre les dispositions nécessaires.

Ma question :

Comment informer les gérant de cette faille de sécurité colossale, sans pour
autant prendre le risque que ceux ci se retournent contre moi au regard de
la loi de 78.
En effet, si je ne dis rien, je ne risque rien, puisque vu l'état des
choses,je ne pense pas qu'il y ait quelqu'un pour varifier les logs, en
revanche, si je souhaite agir honnetement et leur rendre service, je prend
le risque de me retrouver devant un tribunal pour avoir accédé à leur
système.

Précisons toutefois que l'accès n'a nécessité aucune manipulation
particulière.
et la loi précise :" acces frauduleux.."


Ici, tout est ouvert directement à n'importe qui .!!

Merci de vos conseils et avis sur la question.

Salutations.





salut,

tu leur envoie un mail précisant :
- que tu devais accéder à une machine pour ton travail (tu justifies ta fonction)
- que tu t'es gourré d'ip, ce qui peut arriver à n'importe qui
- que tu t'es retrouvé dans une machine sans qu'on ne te demande rien comme pass... donc ce n'est qu'en visualisant le contenu des disques que tu t'es rendu compte de l'erreur
- que tu tenais à le leur signaler afin qu'ils prennent les mesures adéquates de protection
- et tu précises bien le jour et l'heure où tu as fait la manip, ton ip a ce moment là...

si tu es admin réseau... ne leur propose pas tes services ! ca pourrait être interprété comme : j'ai testé, c'est une passoire, je peux vous sécuriser tout ca pour xxxxxxx euros :-)

A mon avis, une société qui a ce genre de faille ne va pas crier sur les toits que leur système est une passoire...

Tu recevras peut être un mail de remerciements de l'admin de la boîte, ou un mail pourri du même admin parce qu'il aura été viré :-)


--
Séb.
www.amiez.org - Faites-vous des ami(e)s gratuitement
www.chercherunemploi.com - Gestion de recherche d'emploi.
Jacques Caron
Le #13754961
Salut,

On Fri, 20 May 2005 09:44:43 +0200, (¯`·..Yttrium ...·´¯)

Comment informer les gérant de cette faille de sécurité colossale, sans
pour autant prendre le risque que ceux ci se retournent contre moi



Lettre anonyme? :-)

Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
Quoi ma gueulle(R) ?
Le #13754951
On Fri, 20 May 2005 09:44:43 +0200, "(¯`·..Yttrium ...·´¯)"

En effet, si je ne dis rien, je ne risque rien, puisque vu l'état des
choses,je ne pense pas qu'il y ait quelqu'un pour varifier les logs, en
revanche, si je souhaite agir honnetement et leur rendre service, je prend
le risque de me retrouver devant un tribunal pour avoir accédé à leur
système.



Il faut reagir comme veut le systeme. Tu dis rien et ils se demerdent.
Pourquoi prendre le risque de te faire poursuivre ? Ne donne pas le
baton....
Leo
Le #13754941
"(¯`·..Yttrium ...·´¯)" message de news:428d9533$0$1959$
Bonjour ,

Voici les faits :

En pensant accéder par internet à un serveur surlquel je dois intervenir,


je
commet une erreur en entrant l'adresse IP, et je me retrouve sur une autre
machine.
Cette machine, appartient à une grand société, et est accessible


directement
sur le net en NetBios !!
Tous les disqaues dur sont accessibles par internet, sans aucune


protection,
sans qu'aucun mot d epass ne soit demandé.
TOUS les fichiers de l'entreprise sont donc accessibles à n'importe qui;


et
vous l'imaginez, certains sont trés probablement à caractère tout à fait
confidentiel

Loin de moi l'idée, de nuire à cette société et de subtiliser ou de


détruire
quoi que ce soit, je souhaiterais simplement en informer les gérants, afin
qu'il puissent se protéger et prendre les dispositions nécessaires.

Ma question :

Comment informer les gérant de cette faille de sécurité colossale, sans


pour
autant prendre le risque que ceux ci se retournent contre moi au regard de
la loi de 78.
En effet, si je ne dis rien, je ne risque rien, puisque vu l'état des
choses,je ne pense pas qu'il y ait quelqu'un pour varifier les logs, en
revanche, si je souhaite agir honnetement et leur rendre service, je prend
le risque de me retrouver devant un tribunal pour avoir accédé à leur
système.

Précisons toutefois que l'accès n'a nécessité aucune manipulation
particulière.
et la loi précise :" acces frauduleux.."


Ici, tout est ouvert directement à n'importe qui .!!

Merci de vos conseils et avis sur la question.

Salutations.



je ne suis pas sur que les circonstances soient exactement les memes, mais
je me rappelle qu'un internaute a ete condamne, pour avoir signale au GIE
carte bleue qu'il s'etait introduit dans leur systeme, aurait pu detourner
des fonds, mais ne l'avait pas fait
\(¯`·..Yttrium ...·´¯\)
Le #13754931
"Leo" 428db362$0$28375$
je ne suis pas sur que les circonstances soient exactement les memes, mais
je me rappelle qu'un internaute a ete condamne, pour avoir signale au GIE
carte bleue qu'il s'etait introduit dans leur systeme, aurait pu detourner
des fonds, mais ne l'avait pas fait



C'est bien ce qui me fait hésiter... :-(
TOTO
Le #13754921
(¯`·..Yttrium ...·¯)
Comment informer les gérant de cette faille de sécurité colossale, sans pour
autant prendre le risque que ceux ci se retournent contre moi au regard de
la loi de 78.



Ne rien faire. Les laisser se faire Hacker par le premier lycéen venu
sinon il y a de forte chance qu'ils se retournent contre vous.

--
Gwen.
www.shito.com
Eric PETIT
Le #13754891
Jacques Caron a écrit :

Salut,

On Fri, 20 May 2005 09:44:43 +0200, (¯`·..Yttrium ...·´¯)
Comment informer les gérant de cette faille de sécurité colossale,
sans pour autant prendre le risque que ceux ci se retournent contre
moi



Lettre anonyme? :-)



Bonjour,

Certainement la solutions la plus en accord avec sa propre conscience
(volonté de prévenir) sans les risques de l'approche directe :-((

En plus "comique" :
Informer la concurrence ? ;-))
Trouver les fichier mp3 de l'admin et les effacer/renommer :^)

Attention également, ce qui a été "découvert" n'est peut être qu'un "piège"
(le terme du milieu me semble être 'pot de miel' ou 'honey ...' ) justement
pour détecter les "attaques".

Mais la jurisprudence n'incite pas à l'altruisme :-(
--
Eric
Reply-to valide, laissez tel quel !
Texte brut vivement conseillé !!
ben
Le #13754851
(¯`·..Yttrium ...·´¯) wrote:
Bonjour ,

Voici les faits :

En pensant accéder par internet à un serveur surlquel je dois intervenir, je
commet une erreur en entrant l'adresse IP, et je me retrouve sur une autre
machine.
Cette machine, appartient à une grand société, et est accessible directement
sur le net en NetBios !!
Tous les disqaues dur sont accessibles par internet, sans aucune protection,
sans qu'aucun mot d epass ne soit demandé.
TOUS les fichiers de l'entreprise sont donc accessibles à n'importe qui; et
vous l'imaginez, certains sont trés probablement à caractère tout à fait
confidentiel

Loin de moi l'idée, de nuire à cette société et de subtiliser ou de détruire
quoi que ce soit, je souhaiterais simplement en informer les gérants, afin
qu'il puissent se protéger et prendre les dispositions nécessaires.

Ma question :

Comment informer les gérant de cette faille de sécurité colossale, sans pour
autant prendre le risque que ceux ci se retournent contre moi au regard de
la loi de 78.
En effet, si je ne dis rien, je ne risque rien, puisque vu l'état des
choses,je ne pense pas qu'il y ait quelqu'un pour varifier les logs, en
revanche, si je souhaite agir honnetement et leur rendre service, je prend
le risque de me retrouver devant un tribunal pour avoir accédé à leur
système.

Précisons toutefois que l'accès n'a nécessité aucune manipulation
particulière.
et la loi précise :" acces frauduleux.."


Ici, tout est ouvert directement à n'importe qui .!!

Merci de vos conseils et avis sur la question.

Salutations.



Pour ma part, je contacterai les gens de chez zataz.com,
ou du virus'info (www.acbm.com)
Comme ça, le site sera prévenu, et toi tu risque, au pire
de gagner un T-Shirt :p
Spyou
Le #13754831
"Leo" 428db362$0$28375$
je ne suis pas sur que les circonstances soient exactement les memes, mais
je me rappelle qu'un internaute a ete condamne, pour avoir signale au GIE
carte bleue qu'il s'etait introduit dans leur systeme, aurait pu detourner
des fonds, mais ne l'avait pas fait



La difference, c'est que cette personne avait sciemment travaillé pendant
plusieurs mois (années?) pour arriver a ce resultat.

On ne peut plus vraiment parler de "j'ai trouvé une faille sans faire
expres"
Quoi ma gueulle(R) ?
Le #13754801
On Fri, 20 May 2005 11:52:33 +0200, "Leo" wrote:

je ne suis pas sur que les circonstances soient exactement les memes, mais
je me rappelle qu'un internaute a ete condamne, pour avoir signale au GIE
carte bleue qu'il s'etait introduit dans leur systeme, aurait pu detourner
des fonds, mais ne l'avait pas fait



Non le type n'a pas ete poursuivi pour avoir casser l'algo des CB,
mais pour avoir fait usage en demonstration devant temoins pour
acheter des ticket de metro.
Poster une réponse
Anonyme