Du jeu des hackers et de la langue de bois des banques et des SSII

Posté par  . Modéré par Yann Hirou.
Étiquettes :
0
3
juil.
2001
Pirate
L'histoire se répète une fois encore :
D'un coté, il y a des cachottiers qui préfèrent enterrer leur fautes et pipoter plutôt que de trouver une solution véritable, de l'autre, il y a des petits gars qui adorent déterrer ce genre de magouilles...

Cette fois c'est Banque Directe et Atos qui sont mis au pilori par Kitetoa. Plusieurs milliers de mot de passe en libre service et, comme d'habitude, il faut hausser le ton pour que les banquiers et les consultants bougent leur popotin.

Ne vous inquietez pas une bonne campagne de pub arrangera le tout! Banque Directe, la Banque où l'on se sert en Direct!

Note du modérateur: Lisez les articles Kitetoa, c'est très fort!

Aller plus loin

  • # Impressionnant...

    Posté par  . Évalué à 0.

    et pas vraiment rassurant !
    Je pense qu'il serait plus rapide de faire une liste des sites à peu près sécurisés, plutôt que l'inverse...

    Dans l'article Kitetoa, ils suggèrent un truc pas con du tout :
    " Il n'y aura aucune sécurité pour les serveurs hébergés tant que les clients accepteront de bosser avec des gens qui ne peuvent pas fournir une attestation prouvant qu'ils ont été audité et testé régulièrement par une, ou mieux, plusieurs sociétés de sécurité indépendantes et donc, externes. "

    A méditer, et à appliquer...
    • [^] # Re: Impressionnant...

      Posté par  . Évalué à 0.

      ils utilisent quelles serveurs mal configurés atos?
      • [^] # Re: Impressionnant...

        Posté par  . Évalué à 0.

        ... Solaris et HP massivement (dont environs 200 netra sur un total de 600)

        40 NT (et c'est de là que viennent les problèmes)

        et 100 linux (80 pour loftStory et 20 en test pour le futur ...)
      • [^] # Re: Impressionnant...

        Posté par  (site Web personnel) . Évalué à 1.

        netscape
        • [^] # Re: Impressionnant...

          Posté par  . Évalué à 0.

          pour les serveurs http

          netscape enterprise sur les sun et hp

          IIS sur les NT

          Apache sur les Linux
          • [^] # Re: Impressionnant...

            Posté par  . Évalué à 1.

            yes !

            pour voir ce qu'un serveur utilise comme serveur ouaib, utiliser lynx http://www.tonsite.com(...) et appuyer sur la touche "=", ça envoie une requete GET / /HEAD1.1 et donc retourne le type de serveur utilisé
            • [^] # Re: Impressionnant...

              Posté par  . Évalué à 0.

              autre solution du travail dans la boite (oui j'ai honte ...),
              tu te connecte sur la machine et tu regarde ...
            • [^] # Re: Impressionnant...

              Posté par  (site Web personnel) . Évalué à 2.

              C'est trop compliqué d'appuyer sur '=' :

              annah@world $ lynx -head -dump http://linuxfr.org(...)

              HTTP/1.1 200 OK
              Server: Microsoft-IIS/4.0
              Content-Location: http://linuxfr.org/index.html(...)
              Date: Tue, 03 Jul 2001 12:47:52 GMT
              Content-Type: text/html
              Accept-Ranges: bytes
              Last-Modified: Thu, 23 Nov 2000 11:29:38 GMT
              ETag: "6afd18aa4055c01:23e7b"
              Content-Length: 1204
              • [^] # Re: Impressionnant...

                Posté par  (site Web personnel) . Évalué à 1.

                Fabien, la semaine derniere votre migrations c'etait quoi, une migration vers IIS 4.0 ? ;-)

                Et les gars, il nous on fait ca, sans rien nous dire !! ;-)
                • [^] # Re: Impressionnant...

                  Posté par  (site Web personnel) . Évalué à 1.

                  Rassure-toi, c'est du porte nain ouac, je viens de vérifier, carrément apeuré à l'idée de voir DLFP down toutes les ½ h :


                  joeblow@darkstar/pts/2(0):~$ telnet linuxfr.org 80
                  Trying 213.193.17.3...
                  Connected to zobe.linuxfr.org.
                  Escape character is '^]'.
                  HEAD / HTTP/1.0

                  HTTP/1.1 302 Found
                  Date: Tue, 03 Jul 2001 14:04:23 GMT
                  Server: Apache/1.3.9 (Unix) Debian/GNU
                  Location: http://linuxfr.org/(...)
                  Connection: close
                  Content-Type: text/html; charset=iso-8859-1

                  Connection closed by foreign host.
                  joeblow@darkstar/pts/2(0):~$


                  Mais bon, à première vue, ils ont pas installé SuSE partout, donc ça risque quand même de se blo

                  Envoyé depuis mon PDP 11/70

    • [^] # Re: Impressionnant...

      Posté par  . Évalué à 1.

      Auditer régulièrement une plate-forme, ça a un coût, et si le client ne veut pas assumer ce coût, c'est pas l'hébergeur qui va le faire...
  • # Et encore on a rien vu !

    Posté par  . Évalué à 1.

    kitetoa utilise un kung-fu style (!) qui est le navigateur de M tout le monde :)

    donc, imaginez ce qu'on peux faire avec d'autres outils, d'autres scanner...
    Kitetoa est un très bon site pour montrer que pirater un site et à la portée de n'importe qui !

    Ce qui est effrayant c'est que des sociétés comme Atos se la pète encore après tout ça !
    imaginez ce qu'on peux faire chez eux...
    et donc chez leur client !...
  • # ouais ouais ouais

    Posté par  . Évalué à 0.

    les gars de kitetoa, ils m'épatent.
    Avant toute chose, je bosse pour la boite incriminée, et je suis un peu enervé du ton 'chez Atos, ils sont tous nazes', je le trouve un peu réducteur. (Je poste en anonyme, parce que je ne veux pas avoir de problèmes en interne).

    Ils sont super balèzes pour donner des leçons, mais s'ils
    sont si fort que ça, je suis étonné de les voir glander
    sur un site en disant "whaou les autres, ils snt mauvais"
    au lieu de se faire du blé ou d'oeuvrer pour la bonne marche de l'ensemble.
    Je les ai déjà contacté pour une autre histoire, je voulais en savoir plus, mais à part "j'ai eu des contacts avec les responsables, on m'a confirmé, etc...", rien de concret ni de valable, pas de preuve de rien.
    Alors oui, banquedirecte a peut être été craqué (certains clients veulent absolumment faire du NT parce que MS leur a bourré le mou),et c'est franchement nazes de notre part si c'est le cas, mais les mecs de kitetoa, je les trouve assez nuls dans la forme, et assez peu crédibles...

    Enfin, encore des paranos du 'les grandes boites sont toutes méchantes'. Faudrait peut-être arrêter de regarder XFiles en boucle, et de se bouger un peu le cul et faire avancer les choses, au lieu de se prendre pour les zorro du net.
    • [^] # Re: ouais ouais ouais

      Posté par  . Évalué à 0.

      heu ... pareil !!!

      c'est vrai que c'est dur de trouver des bons admins Nt ... ici il n'y a que des admin Unix ...

      vivement le passage sous apache/tomcat ...ça nous changera de Netscape/Jrun ....
    • [^] # Re: ouais ouais ouais

      Posté par  . Évalué à -1.

      Je poste en anonyme, parce que je ne veux pas avoir de problèmes en interne

      reconnu quand meme!

      :)

      --
    • [^] # Re: ouais ouais ouais

      Posté par  . Évalué à 1.

      Alors toi tu cherches les coups ! (je poste en anonyme pour pas avoir de problemes avec Big Brother)
      Les gars de Kitetoa, dans 95% des cas, se font rembarrer quand ils previennent les boites, alors pas de lecons sur "ils feraient mieux de se bouger le cul" et les 5% restant, ce sont des menaces de proces (on les traite de pirates) ou exceptionnellement des remerciements (0,01%). Ceux qui doivent "se bouger le cul" comme tu dis ce sont les boites qui foutent les passwords en clair sur leur serveur, voire en libre circulation et qui ne respectent pas la loi (eh oui, la loi informatique et liberte impose la protection des donnees confidentielles).
      • [^] # Re: ouais ouais ouais

        Posté par  . Évalué à 1.

        Merde j'etais authentifie ! Aidez-moi ILS sont a ma porte !
    • [^] # Re: ouais ouais ouais

      Posté par  . Évalué à 0.

      Oui, mais quand on installe un IIS sous NT sans prendre la peine d'installer les patches des failles les plus connues, ou qu'on archive les logs du serveur (avec les mots de passe en clair!) sur un site accessible par tout le monde, je crois qu'on mérite quand même de se faire traiter de blaireaux.
      Si en plus ils ferment les yeux quand on leur met leur caca sous les yeux et répètent "Non, non, nous on est super aware-secure", ça frise le foutage de gueule.
    • [^] # Re: ouais ouais ouais

      Posté par  . Évalué à 1.

      pourtant banquedirecte tourne sous solaris et pas nt ... :

      http://uptime.netcraft.com/up/graph/?host=www.banquedirecte.fr(...)
      • [^] # Re: ouais ouais ouais

        Posté par  . Évalué à 1.

        oui, mais plus chez Atos... en fait, c'est une histoire de plus d'un an qui ressurgit parce qu'apparemment Banque Directe n'a pas changé les mots de passe des utilisateurs depuis le temps, donc c'est certainement encore les memes que ceux qui sont (encore) chez Atos...
    • [^] # Re: ouais ouais ouais

      Posté par  (site Web personnel) . Évalué à -1.

      Super ...

      Atos vous faites de la merde (oui, oui, vu les failles j'apelle ça comme ça) Kitetoa vous le dit, vous explique comment faire, et non , ça vas pas, c'est des salaud qui font pas avancer les choses ...

      Super la mentalité ..

      Puis s'il te faut plus de détail pour reproduire les bugs , que ceux que laisse Kitétoa, recicle toi ..

      Vrm
    • [^] # Re: ouais ouais ouais

      Posté par  . Évalué à 0.

      Je pense que le problème est inhérent à toute grosse SSII, qui perd toute notion de réalité dès qu'elle atteint une taille critique (qui reste à définir).
      Si un projet mobilise plusieurs dizaines de personnes, il est très difficile de faire passer un message en interne sur les choix techniques à suivre, ou sur des problématiques de sécurité.

      C'est pour ça que des grosses SSII font appel à des petites SSII, plus pointues, sur des sujets spécifiques, en sous-traitance...

      Au final, un audit externe reste, bien que très coûteux, une solution *a peu près* fiable comme gage de sûreté.
      • [^] # Re: ouais ouais ouais

        Posté par  . Évalué à 1.

        C'est ce que vous repondez aux boites qui reclament vos services ? C'est pas votre METIER de securiser ? Imagine tu vas chez le garagiste et il te rend ta voiture avec les freins deregles, le moteur qui cale, etc... "Ah oui mais on est un gros concessionnaire, le boulot ne peut pas etre si bien fait que chez votre petit garagiste de quartier". On reve... C'est les comptes en banque de milliers de personnes dont on parle, la, pas une vente de cactus en ligne (quoi que).
        • [^] # Re: ouais ouais ouais

          Posté par  . Évalué à -1.

          En l'occurence, c'est plutot des coussins-cactus qu'ils vendent (car cela fait mal au cul).

          [desole]
        • [^] # Re: ouais ouais ouais

          Posté par  . Évalué à 0.

          STOOOOP
          Je suis l'auteur du commentaire au dessus, et JE N'AI RIEN A VOIR avec une SSII. c'est une constatation externe, qui peut se résumer par :
          - les gros projets c'est forcément buggé à mort
          - rien ne vaut une petite boite quand on externalise
    • [^] # Re: ouais ouais ouais

      Posté par  . Évalué à 0.

      > Ils sont super balèzes pour donner des leçons,
      > mais s'ils sont si fort que ça, je suis étonné
      > de les voir glander sur un site en
      > disant "whaou les autres, ils snt mauvais"
      > au lieu de se faire du blé ou d'oeuvrer pour la
      > bonne marche de l'ensemble.

      j'ai fait parti d'une boite qui s'est fait prendre en flag par Kitetoa. Ca a raler, yen a pas mal qui ont rigoler et le fautif a corriger.
      La faute etait ENAURME, du torchage. C'est pas en ne faisant pas ce genre de boulette qu'on devient le roi du web. On devient quelqu'un de normal.

      > Faudrait peut-être arrêter de regarder XFiles
      > en boucle, et de se bouger un peu le cul et
      > faire avancer les choses, au lieu de se prendre
      > pour les zorro du net.
      Ca, ca m'enerve, cette critique de la critique. Nia nia, c'est pas positif, nia nia, c'est pas constructif. C'est peut etre positif de torcher le travail?
      • [^] # Re: ouais ouais ouais

        Posté par  . Évalué à 1.

        C'est bien beau de casser du sucre sur Atos. Meme si ils ont leur part de responsabilité, il ne faut pas oublier que bien souvent le client fait chier les boites de services pour avoir le prix le plus mince possible, alors faut pas s'etonner apres si certains postes subissent une amputation dans leur budget.

        Dans ma boite, on a une bonne aproche je trouve, car on a prit le partit de ne pas faire d'hebergement. On sait qu'on a pas les compétences et la main d'oeuvre pour assurer un service de qualite, donc on le fait pas et on prefere laisser cette partie aux boites qui savent tres bien le faire pendant que nous on se concentre sur ce qu'on fait le mieux : les devs.
        • [^] # Re: ouais ouais ouais

          Posté par  . Évalué à 0.

          Peut etre, mais une banque c'est pas un marchand de cacahuetes, ils se doivent d'etre securises en permanence, et foutre du pognon dans la securite. Un audit ca doit couter certainement moins cher que l'entretien des vrais coffre-forts...
    • [^] # Re: ouais ouais ouais

      Posté par  . Évalué à 1.

      et bla bla bla !

      arrêtez de croire qu'à chaque fois que qq'un dénonce une grosse entreprise c'est qu'il à soit rien à foutre de la journée, soit qu'il est attardé mentale de 15 ans boutonneux !

      Si kitetoa n'existait pas, qui aurait fait avancer la sécurité dans les entreprises ? les consultants de chez Ernst&young ? arf !
      Nan ! c'est clair, pas eux !

      beaucoup de site comme kitetoa travail par contre avec de grosses société grâce justement à ce qu'ils ont déjà prouvé : eeyes.com en est l'exemple typique, il bosse aujorud'hui avec/pour microsoft....
    • [^] # Re: ouais ouais ouais

      Posté par  (site Web personnel) . Évalué à 1.

      Super ! Après les attaques mesquines sur le Leuco-Site ( voir fac-similé de la première sur Kitetoa - http://www.kitetoa.com/Pages/Textes/Les_Dossiers/Admins/PagesExtern(...) - et la deuxième en direct-live - Atos s'y nomme M. GrosMatos, ah ah ah - http://leuco-site.net/anciens/youkou/index.htm(...) ), voilà-t-y pas que le Monsieur de chez Atos vient faire son caca nerveux sur DLFP. Et comme il a pas plus de courage qu'avant, il poste en anonyme. Si c'est pas beau ça.

      Un conseil, cher « serpent » (c'est lui qui se nomme ainsi dans son article) : si on te fait un reproche (es-tu impliqué dans les cafouillages cités d'ailleurs ?), prends sur toi, corrige, et évite de refaire la même bourde. Et ce n'est pas parce que c'est un journaliste de Transfert - tout juste bon à être manutentionnaire d'après ton magnifique article - qui te fait la leçon à toi, l'informaticien bardé de diplômes, qu'il faut prendre la mouche et se laisser aller à des quérelles dignes d'enfants de 5 ans, c'est ridicule. Et te servir de ton site et de la réputation qu'il a dans le « Web indépendant » (quoi que ce mot veuille dire) pour mener à bien tes attaques est encore plus nul...

      PS : je n'ai absolument rien à voir avec Kitetoa, que je n'apprécie d'ailleurs pas toujours (et d'ailleurs, je préfère les sandwichs au saucisson). Si tu penses le contraire, contacte-moi, je te file mes coordonnées (je ne peux pas faire le contraire, vu que tu postes en anonyme)...

      Envoyé depuis mon PDP 11/70

    • [^] # Re: ouais ouais ouais

      Posté par  . Évalué à 0.

      Moi aussi je bosse dans une SSII, pas atos quand même :)
      Enfin bon souvent les clients décident des serveurs, et s'ils disent NT et IIS, ça sera NT et IIS. On essaye quand même de les convaincre mais ça marche rarement (un decideur ça aime pas avoir tord)
      Alors le serveur est installé, et c'est fini, le client refuse de payer pour la maintenance et donc le serveur est livré à lui même.
      Et donc plus de mise à jour.

      Enfin la il semble que les serveurs soient chez Atos, donc ils ont la maintenance, donc la ils sont en cause et c'est une preuve d'incompetence notable quand même...
      • [^] # Re: ouais ouais ouais

        Posté par  . Évalué à 0.

        ... bin oui ... les NT nous on sait pas faire ...

        on connait unix ... mais NT ...

        vivement le tout linux/unix ...
        • [^] # Re: ouais ouais ouais

          Posté par  . Évalué à 0.

          les serveurs de loftstory piraté etait sous linux
          remettrez plutot en cause l'environement!
          • [^] # Re: ouais ouais ouais

            Posté par  . Évalué à 0.

            rien a voir ...

            le pirate avais le mot de passe de la machine ...

            surment un ancien ... les mot de passe ne sont changer que tous les 6 mois ... avec le turn hover qu'on se paye en info !!!
            • [^] # Re: ouais ouais ouais

              Posté par  . Évalué à 1.

              Ouais enfin le principe de la sécurité, c'est qu'on n'accède pas aux serveurs en telnet (beurk)/ssh par internet... mais seulement à partir de postes autorisés. Et manifestement, ça doit pas être le cas chez Atos, si le gars il s'est loggué sur les serveurs depuis n'importe où sauf Atos, puisqu'il y est plus...
              • [^] # Re: ouais ouais ouais

                Posté par  . Évalué à 0.

                telnet sur le serveur autorisé puis 5 ou 6 telnet plus loin on est sur le serveur de livraison

                comme on connais les scripts de livraison ... une modif de page plus loin ...
  • # Réponse de Banque Directe

    Posté par  . Évalué à 0.

    Je suis client de la Banque Directe. Je trouve que :
    - un hack vieux de un an
    +
    - une rumeur de vulnérabilité sans fondement technique,
    c'est un peu maigre pour s'exciter.

    Donc j'ai envoyé un mail à kitetoa pour en savoir plus. Je pensais que le hack en question était par force brute sur les deux chiffres en raffale, du type :
    0001020304050607080910111213141516171819202122232425262728293031323334
    3536373839404142434445464748494050515253545565758596061626364656667686
    9707172737475767778798081828384858687888990919293949596979899

    Ca ne me parait pas très crédible mais bon, c'est comme ça que l'on faisait avec les vieux répondeurs non ;) ?

    J'ai aussi contacté la Banque Directe, qui elle m'a renvoyé le mail ci dessous en l'espace de trois heures (pas mal pour des RP) :

    Bonjour,

    Nous avons bien reçu votre message et nous tenons à vous rassurer quant à la sécurité de nos opérations.

    Nous sommes au courant depuis l'origine (juillet 2000) de l'information que vous avez bien voulu nous transmettre.
    Sachez que les fichiers "dénichés" sur le serveur d' Atos étaient en réalité des fichiers de traces, concernant un nombre limité de clients - dont vous ne faisiez pas partie - et pour lesquels nous avons pris toutes les mesures de sécurité qui s'imposaient.

    Après vérification, et audit de notre serveur vocal, il s'avère que le cas décrit est un cas fonctionnel ancien, très particulier, statistiquement très long à réaliser et impossible à reproduire sur notre nouvelle plate-forme informatique.

    La fiabilité des transactions est au coeur de notre activité et nous travaillons constamment à son amélioration.

    En vous remerciant de votre confiance.


    Cordialement,

    Webmaster Banque Directe
    • [^] # Re: Réponse de Banque Directe

      Posté par  . Évalué à 0.

      Mais oui y a pas a s'inquieter puisqu'ils le disent...
    • [^] # Re: Réponse de Banque Directe

      Posté par  . Évalué à -1.

      Ooops oops oops, ce n'avais pas vu le bas du mail :
      Ce message (et toutes les pièces jointes) contient des informations confidentielles ou appartenant à BANQUE Directe et est établi à l'intention exclusive de son(ses) destinataire(s). Toute divulgation, utilisation, diffusion ou reproduction (totale ou partielle) de ce message, ou des informations qu'il contient, est interdite sauf autorisation explicite du(des) auteur(s)

      aïe aïe aïe je vais me faire trainer en justice pas les cheveux ! noooononnnnnn arrêtez !
    • [^] # Re: Réponse de Banque Directe

      Posté par  . Évalué à 1.

      J'aurai pas mieux répondu !!
      ils vont pas te dire "Si, on s'est fait torché tous not password admin de tous nos serveurs, et on sait pas trop quoi faire, Atos non plus"
      • [^] # Re: Réponse de Banque Directe

        Posté par  . Évalué à 0.

        moi j'y crois guere !!
        j'ai l'impression que le mec surfait ds ces repertoires dont il est le proprio
        et qu'en outre personne d'autre ne peux le faire!
        y a qu'a voir les capture d'ecran c xplicite!
        c pas un inconnu qui rentre ds les dossier
        mais le proprio d'un compte, cela ne prouve rien!
        • [^] # Re: Réponse de Banque Directe

          Posté par  . Évalué à 0.

          Mais oui, et la marmotte, elle met tes mots de passe dans le papier alu...
        • [^] # Re: Réponse de Banque Directe

          Posté par  . Évalué à 1.

          Je voudrais pas être désobligeant mais t'as pas l'air de t'y connaitre trop trop en sécu.

          A partir d'un nav web tu peux faire ce que tu veux si en face certains patchs n'ont pas été appliqués !

          exemple :
          imagine un site comme tf1.fr qui à des pages d'administration à distance pour mettre à jour leurs infos.
          imagine ensuite que ce site possède sur ce compte admin un login/passwd par défaut guest/guest que l'admin du site aura oublié de changer...boum !

          et ça arrive très souvent.

          Bien évidement le coup du login/passwd n'existe plus trop aujourd'hui, mais que dire des bugs unicode ? et il y a encore bien pire !
          Donc oui à partir d'un nav. internet on peux faire beaucoup de chose !

          et imagine avec une console linux.....hum... :)
          • [^] # Re: Réponse de Banque Directe

            Posté par  . Évalué à 1.

            Ouais enfin y a quand même moyen de limiter l'accès à ces zones à certaines machines, par à Internet entier...
            • [^] # Re: Réponse de Banque Directe

              Posté par  . Évalué à 1.

              Certes !

              par IP lorsqu'elles sont fixe, ...
              par login/passwd, par VPN tout con....etc..

              mais tout ça ne sert à rien si à la base il se trouve un méchant bug type bufer-overflow, remote shell, et j'en passe sur le serveur.

              Tant qu'on aura pas compris que tout les sites sont piratables, que tout les sites du monde qui sont accessibles de l'exterieur sont potentiellement attaquables, bah...ça avancera chi !

              et aujourd'hui lorsque vous jettez un coup d'oeil rapide sur la majorité des sites ça fout les ch'tons !
              les cordonnier sont souvent les + mal chaussée !
          • [^] # Re: Réponse de Banque Directe

            Posté par  . Évalué à 0.

            je te retourne le compliment
            justement je m'y connais un peu en serveur
            et aux dernieres nouvelles l'acces aux données se fait des des repertoires et ils sont verrouillés
            par des droits!
            Si c bien fait il n'y a que le root et le proprio du repertoire qui y a acces, c pr cela qu'il me semblait sur les photos d'ecran que l'user voyait son repertoire et c normal!
            cela m'aurait semblé moins secure si la personne n'etait pas loggé et anonyme
            mais visblement l'user browse ces fichiers!
    • [^] # Re: Réponse de Banque Directe

      Posté par  . Évalué à 1.

      Personnellement si je pose une question de sécurité à une boite et que c'est le webmaster qui me répond, je commencerais sérieusement à me poser des questions sur la crédibilité de la boite.
  • # Comment on a trouvé les mots de passe [Kitetoa]

    Posté par  . Évalué à 0.

    Je m ‘étonne toujours de l’intérêt que les gens portent à « tout ça »…

    :)

    La vie est ailleurs...

    Mais revenons à cette histoire. Puisque tout le monde semble se demander quel était le genre de serveur, d’OS, comment on a fait, si on était root ou quoi, nous allons donner quelques précisions...

    Banque Directe n’a aucune responsabilité dans cette histoire, si ce n’est de ne pas avoir procédé à un grand changement de mots de passe général de ses clients. Elle explique cela par le fait que seul certains clients voyaient leurs connexions être logguées par Atos. C'est en effet possible.

    Que se passait-il il y a un an chez Atos ?

    Atos avait un serveur Web (Netscape Eterprise Server) qui servait pour traiter, semble-t-il, une activité spécifique des clients Banque Directe. En fait, cela concerne le téléchargement pour traitement en local des données bancaires. D’où le nom ofx du serveur (visible sur une des copies d’écran dans le dernier papier) pour ceux à qui ce genre de choses parle.

    Ce serveur était en accès public et le contenu des répertoires n’était pas protégé par login/password. En d’autres termes, si vous tombiez par hasard, comme nous, sur ce serveur, vous finissiez très vite dans un répertoire au nom évocateur (Oldbanquedirecte/log/). Dans ce répertoire, étaient stockés des petits fichiers zip. Dans ces fichiers zip, des fichiers texte. Dans ces fichiers textes, les logins et password des clients en clair.

    Outre le fait que les informations étaient stockées en clair sur un serveur Web public, on notera avec intérêt que Atos n’avait plus de relation commerciale avec Banque directe depuis des mois au moment de notre trouvaille. Je vous laisse méditer sur ce point...

    D’autres questions ?
    kitetoa@kitetoa.com

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.