Journal Et vous ? espionnez-vous vos utilisateurs ?

Posté par  .
Étiquettes : aucune
0
31
mai
2007
D'après cet article[1], 1 admin sur 3 userait de ses «superpouvoirs» pour espionner tranquillement les utilisateurs. Tremblez, braves gens...

Plus sérieusement, je dois déjà vous dire que l'étude dont il est question est rédigée par une société qui base son business sur la sécurité[2]. Il faut donc prendre l'orientation du texte avec méfiance. Par exemple, on nous dit aussi qu'un tiers des personnes interrogées pourraient continuer à espionner après leur départ de l'entreprise. Ah, c'est donc le même 1 sur 3 qui espionnait déjà dans l'entreprise, rien de nouveau donc. A part que la sécurité est tellement trouyeautée que «personne ne puisse les en empêcher». Faut dire que si il passe son temps à lire les histoires de c*l entre les patron(ne)s et les assistant(e)s, c'est sûr qu'il a pas trop le temps de faire son boulot...

D'ailleurs, pour enfoncer le clou, la même étude vous explique qu'en plus d'être trop curieux, ils sont aussi incompétents... 50% notent les mots de passes sur des post-it, 18% dans des «feuilles excel» (et dans gnumeric, ça compte pas ?). Et le top du top, ce sont les 7% qui ne changent jamais leurs mots de passe, et les 8% qui gardent les mots de passe du fabricant...

Bref, maintenant que vous êtes bien alarmé, et que vous avez signé le précieux bon de commande pour le produit miracle de la boîte en question, revenons un peu au fond du sujet.

Il est clair qu'un administrateur système en sait beaucoup sur ses utilisateurs, parfois plus qu'il ne le souhaite lui-même. Il est possible aussi que parfois certains soient un peu trop curieux, mais je ne pense pas que ce soit une majorité. Je me trompe peut-être ? Dans la plupart des cas que j'ai rencontré, c'est plutôt les utilisateurs qui vous livrent plus que ce que vous leur demandez, en arrivant quand même à oublier de dire la seule utile que vous attendiez.

De toute façon, il n'y a même pas besoin d'être curieux pour en apprendre tous les jours sur les m½urs de tel ou tel. Surtout quand on travaille dans les services informatiques, et pas besoin d'être admin, la hotline c'est encore mieux...

Parmi les anecdotes vécues, le champion toute catégorie restera un certain directeur régional, qui après avoir épuisé toutes les ressources possibles, de la hotline à l'administrateur, a convoqué le directeur de compte pour se plaindre. Après discussion sur le ton de la «confidentialité», il se trouve que le problème était un codec exotique manquant pour lire le dernier pr0n circulant sur le réseau.

Ou encore, ce directeur qui déclare sa flamme à sa secrétaire en mettant les 3000 employés en copie...

Et pour conclure en revenant aux admins, il manque un chiffre dans cette étude: combien utilisent un unix ? parce que de mon expérience, l'attitude d'un admin 100% windows, ou d'un admin mixte ou 100% *nix est totalement différente sur ces question, mais je n'ai pas de statistiques...

À vous les studios.

[1] http://www.reseaux-telecoms.net/actualites/lire-les-services(...)
[2] http://www.cyber-ark.com/

  • # C'est vrai!

    Posté par  (site web personnel) . Évalué à 10.

    Un admin unix se fera un script perl pour obtenir les informations les plus croustillantes, sans avoir à trier manuellement. \o/

    • [^] # Re: C'est vrai!

      Posté par  . Évalué à 1.

      Ou de l'art d'utiliser les filtres bayésiens des détecteurs de spams pour l'espionnage.

  • # 7%...

    Posté par  (site web personnel) . Évalué à 3.

    Merde je fais parti des 7% :(

    Bon je me rassure en me disant que j'ai plein de mdp différents et que je les connais tous par c½ur et qu'ils sont assez bien formés (même si je peut mieux faire), mais je les change jamais... c'est grave docteur?

    • [^] # Re: 7%...

      Posté par  . Évalué à 3.

      ben les mots de passe sa sux surtout

      authentifie toi avec une clé, ainsi tu n'as qu'une chose à retenir, le passhrase....

      et quand tu fais des rebonds de machine en machine, ssh te permet de faire du SSO avec l'agent forwarding...

    • [^] # Re: 7%...

      Posté par  . Évalué à 4.

      J'ai acces à une ferme de calcul sur laquel il faut que je change mon mot de passe tout les 6 mois.
      Franchement c'est ch...
      Il y a deux ecoles
      -Ceux qui incremente le mot de passe i.e superpas0 superpas1 superpas2 etc...
      -Et ceux qui en trouvent des plus con les un que les autres tous les 6 mois,
      La conséquence c'est que le temps de m'habituer au nouveau mot de passe je le garde sur un post it sur mon ecran pendant une semaine...

      Pour mes autres machines je garde toujours le même mot de passe...

    • [^] # Re: 7%...

      Posté par  (site web personnel) . Évalué à 1.

      Je suis dans les 50% (le temps de les mettre dans la base de donnees), les 18% (plus pour longtemps : on a une base de donnees maintenant), les 7% (si on change les mdps trop souvent les clients vont finir par raler) et les 8% (pour des serveurs accessibles en interne seulement). Et pour les serveurs qui n'ont pas de mdp par defaut, on met le nom de la boite...
      C'est grave ?
      Et je suis 90% Linux, 5% Solaris et 5% Windows...

  • # On parle de qui là ?

    Posté par  (site web personnel) . Évalué à 4.

    Quand ils parlent d'administrateurs système dans cet étude, ils parlent bien de ceux ou ya vraiment marqué "administrateur système" sur la feuille de paye, ou du premier pignouf venu a qui on a dit que dorénavant c'est a lui de gérer le parc info de l'entreprise ?

    Ensuite, la question n'est pas de savoir si oui ou non l'admin sys espionne les utilisateurs, mais de savoir si il respecte le secret professionnel.

    • [^] # Re: On parle de qui là ?

      Posté par  . Évalué à 1.

      Ensuite, la question n'est pas de savoir si oui ou non l'admin sys espionne les utilisateurs, mais de savoir si il respecte le secret professionnel.

      Euh rappelle moi le numéro de ton UMR…

    • [^] # Re: On parle de qui là ?

      Posté par  . Évalué à 0.

      Ouaip, d'accord avec toi, il peut tout à fait se retrouver à « espionner » involontairement les utilisateurs en lançant un grep sur les mails pour trouver un fichier, ou en faisant un scan du trafic avec wireshark.

  • # ce que j'ai appris en administrant le réseau familial

    Posté par  (site web personnel) . Évalué à 10.

    Je ne veux pas savoir ce que font mes parents sur le web.

    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

  • # Quelques remarques ...

    Posté par  . Évalué à 3.

    (et dans gnumeric, ça compte pas ?)


    Non, car la majorité des neuneus ne parviendront pas à ouvrir le document :-)

    Ou encore, ce directeur qui déclare sa flamme à sa secrétaire en mettant les 3000 employés en copie...


    Je ne suis pas encore persuadé qu'il ne l'ait pas fait exprès ...

  • # Vécu

    Posté par  (site web personnel) . Évalué à 2.

    Pour le fichier excel, je confirme. Un de nos admins avait laissé sur un serveur de fichiers, un fichier contenant tous les mots de passe de messagerie de tous les utilisateurs de la boîte dans un répertoire accessible à tous...

    • [^] # Re: Vécu

      Posté par  (site web personnel) . Évalué à 5.

      d'où l'avantage d'utiliser le même mot de passe pour tous les utilisateurs de la boîte, y'a pas à utiliser Excel...

      Franchement, je pense qu'il y a une juste proportion à respecter entre ce qu'on veut protéger et la difficulté qu'on se donne pour le protéger.

      Quand j'étais trésorier d'une association, je laisse sans soucis les comptes de l'asso à disposition sur notre site internet (sans mot de passe). J'éprouvais déjà les pires difficultés à ce que les membres lisent le compte rendu financier, si un "pirate" s'était donné la peine de récuperer les comptes pour les lire, ça m'aurait fait super plaisir.

      Axel

      • [^] # Re: Vécu

        Posté par  . Évalué à 2.

        En même temps, les comptes de l'asso, ce n'est pas vraiment critique comme donnée. Est ce que tu aurais laissé un listing de tout les adherents avec adresse, numero de telephone, adresse mail etc. en libre consultation sur le site internet ?

        Il me semble que c'est la moindre des choses que le collegue ne puisse pas lire le contenu de ma boite mail. En plus, avoir acces à la boite mail du collegue, c'est aussi pouvoir envoyer des mails tout comme si c'etait lui qui les avait écrits...

        Mais sur le fond je suis d'accord, il faut savoir evaluer ce que vaux ce qu'on veut securiser et ne pas y depenser tout son pognon.

        • [^] # Re: Vécu

          Posté par  (site web personnel) . Évalué à 4.

          avoir acces à la boite mail du collegue, c'est aussi pouvoir envoyer des mails tout comme si c'etait lui qui les avait écrits...
          Envoyer un e-mail en usurpant l'origine c'est trivial même sans accès à la mbox de l'usurpé.

          pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

        • [^] # Re: Vécu

          Posté par  (site web personnel) . Évalué à 2.

          En même temps, les comptes de l'asso, ce n'est pas vraiment critique comme donnée.

          Et les mails professionnels non plus, 99% des messages que je reçois sont destinés à plusieurs personnes de mon service (quand ce n'est pas l'ensemble de la boîte qui est en copie pour une note de service au sujet de la machine à café).

          Encore une fois, la protection des données dépends de ce qu'on veut protéger...

    • [^] # Re: Vécu

      Posté par  . Évalué à 2.

      Certains admins mettent un mot de passe generique pour la messagerie et comme la majorité des users veulent pour avoir leur mail dans oulook (et ne pige pas qu'il faut changer le mdp), ben la pluspart des comptes sont acessibles par le mdp par defaut...

  • # Ca s'appelle l'ethique non ?

    Posté par  . Évalué à 3.

    Perso, j'adhere totalement a cet code ethique:
    http://www.sage.org/ethics/

    Et je ne manque pas de le mentionner quand je doit faire une intervention qqpart. Genre sur le PC perso du boss. "Je peux être ammené à lire des mails confidentiels, je me fous du contenu, je me shoote aux headers".

  • # Légalement sa donne quoi ?

    Posté par  (site web personnel) . Évalué à 1.

    Ce que beaucoup d'informaticiens, administrateurs oublient, est qu'ils sont tenu par (les... non pas là) le secret professionnelle. Donc tout comme un medecin, les raisons de divulger ces informations ou de les utiliser sont très réglementées. Le plus dommage dans ces lois est qu'elles sont souvent non apprisent pendant les études des ces informaticiens (je parle de vrai, pas des bricoleurs). Et c'est vraiment dommage car ils s'exposent à de grave problèmes.

    Born to Kill EndUser !

  • # Ca ne m'etonne pas

    Posté par  (site web personnel) . Évalué à 3.

    En tant que l'un des developpeurs de phpMyVisites, on nous demande tous les jours d'avoir de infos par utilisateur, adresse ip etc. On a souvent du mal à expliquer la difference entre flicage et statistiques.

  • # non

    Posté par  (site web personnel) . Évalué à 3.

    Moi , je fais pas, j'appelle ça ma déontologie professionnelle

    Mais ca amène à réfléchir sur notre corporation, qui n'est justement pas corporatiste.
    A quand un syndicat, une charte de déontologie, une grève ?

    Ca serait bien que les informaticiens s'organisent, et que soit encadrer ces fameux super-pouvoirs.

    En vous remerciant

    RM

  • # la seul chose qui me rassure ....

    Posté par  (site web personnel) . Évalué à 0.

    C'est qu'on à pas les mot de passe sur des post it sinon dans ma boite y a plein d'autre truc catastrophique pour la sécurité ....

    On peut pas y croire tant qu'on ne le voie pas et quand on est obliger de faire une politique laxiste sur les mot de passe et que les users nous disent que c'est minable pour la sécurité on se sent vraiment minable mais comme on dit c est le patron qui décide.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.