Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le bêtisier de la sécurité #fail 2015

octobre 2015 par Emmanuelle Lamandé

L’équipe d’XMCO a présenté son bêtisier de la sécurité #fail, à l’occasion de la 15ème édition des Assises de la Sécurité. Même s’ils font sourire, ces différents cas sont bien réels, puisqu’ils ont été remontés par le groupe lors d’audits de sécurité, de tests d’intrusion, de certifications PCI DSS, ou via leur service de cybersurveillance Serenety... Retour sur les cas les plus emblématiques…

Visio 2016

Quoi de mieux qu’une nappe en papier pour établir les plans d’une future version de ses produits… (Source : audit d’architecture)

Tomcat aurait pu être ton ami…

Un serveur a été compromis 9 fois via une interface d’administration Tomcat, accessible sur Internet. La réponse de l’entreprise pour expliquer cette récurrence : « Les équipes techniques ne peuvent pas changer le mot de passe par défaut »… Une réponse qui fait sourire et qui se veut surtout inquiétante, d’autant qu’une surface d’administration n’a pas besoin d’être sur Internet… (Source : test d’intrusion)

Merci de saisir le mot de passe indiqué pour se connecter en tant qu’admin…

Une entreprise doit toujours vérifier les droits d’administration et appliquer les bonnes pratiques en la matière. (Source : Audit de code)

L’empire contre-attaque…

En regardant des logs de leur entreprise, des administrateurs détectent une attaque, et ont décidé de contre-attaquer, ce qui à ce jour reste illégal… (Source : audit organisationnel)

SSH responsable du réchauffement climatique

L’administration de tous les routeurs de cette entreprise s’effectuait en TELNET uniquement, car SSH faisait « surchauffer » le système… (Audit d’architecture)

Heureusement qu’on avait fait une sauvegarde…

Un client est victime de fraudes (appels surtaxés). Une intervention forensic est alors réalisée et l’incident résolu. L’intégrateur intervient par la suite afin de mettre à jour PABX, mais sans faire de backup de la configuration « corrigée ». La restauration s’effectue à partir d’une vieille configuration du PABX. Les comptes TMA par défaut réapparaissent, et la semaine suivante l’entreprise est victime d’une nouvelle fraude. Par quel biais d’après vous… (Source : Forensic)

Heureusement qu’on avait fait une sauvegarde… (2)

Toujours dans le même registre : chez un client, deux serveurs ont été détectés vulnérables à Heartbleed… un an après la publication de la faille. Pourtant, les serveurs venaient d’être réinstallés… Malheureusement, depuis un ancien backup… (Source : Serenety by XMCO)

Be my guest…

Pour des raisons de « sécurité », les administrateurs d’une entreprise ont inversé les comptes « Administrator » et « Guest » sur les machines (et les groupes associés). Cependant, l’équipe d’XMCO a pu se connecter avec le compte « Administrator » (sans mot de passe) sur plusieurs serveurs oubliés… (Source : test d’intrusion)

Peut-on appuyer sur le bouton ?

Une entreprise qui s’inscrit dans la conformité PCI-DSS est censée savoir que les cartes bancaires ne doivent pas apparaître en clair dans le système, mais repose quand même la question… à tout hasard…

Cloison virtuelle

Toujours dans le contexte de la conformité PCI-DSS, une entreprise dispose d’une architecture soi-disant cloisonnée. « Les serveurs sont dans des VLANS « correctement » segmentés comme imposé par le standard… mais juste pour les flux de prod venant du Web »… ils ont tous une 2ème interface dans un VLAN de management, à plat, qui interconnecte tout le SI. « Parce que sinon comment administrer les serveurs si le firewall tombe ? »

Je suis scotché…

Afin de protéger une installation contre l’utilisation du port IrDA via une télécommande, le directeur de la société vendeur de la solution préconise de placer un sparadrap opaque sur les boîtiers au moment de l’installation afin de réduire les risques. (Source : Audit technique)

On ne va pas chipoter…

A l’occasion d’un audit chez un client voulant « confirmer » sa conformité PCI DSS et prétendant ne pas stocker de numéros de carte bancaire, l’outil développé en interne par XMCO, PanBuster, a détecté rien que 150 000 cartes dans les logs de Debug…

Le théorème des 3 petites cochons (vu à la télé)

« C’est bizarre, d’autant qu’on avait un firewall quasi-neuf… » Après la porosité du firewall en paille, en bois et en brique, voici le cas du « firewall pas encore déballé à la télé » et du « j’ai perdu mon mot de passe, je vais le chercher en replay ». Trop gros pour être vrai, et bien non ! (Source : Journal de France 2)

Et pourquoi tout le monde ne pourrait pas accéder à mon ERP ?!

Un accès à l’ERP d’un client a été découvert depuis Internet. La raison : le mot de passe d’administration par défaut était toujours présent… (Source : Serenety by XMCO)

C’est quand même hyper pratique…

Dans le cadre d’une campagne de déploiement de bornes Wi-Fi, l’installateur a utilisé un espace de stockage sur Internet pour y déposer les fichiers de configuration des bornes. Malheureusement, accessible publiquement sans restriction, les fichiers contenaient toutes les informations de configuration, les passphrases WPA, les mots de passe d’administration… (Source : Serenety by XMCO)

Mon pote « Honey »…

Une base d’environ 5 000 comptes d’un client, dont celui du PDG, était disponible dans un espace de stockage Internet, accessible publiquement, dont les mots de passe n’étaient pas en plus inviolables… (Source : Serenety by XMCO)

Et la Palme d’or de ce bêtiser revient à : Open Bar !!!

Une entreprise propose un service de coffre-fort électronique à ses clients. C’est une application Android associée qui se chargeait d’envoyer les documents par mail au coffre-fort, en passant par un compte Gmail… avec bien entendu le même compte pour tous les clients, hardcodé dans l’application Android. C’est ce qui s’appelle un coffre-fort Open Bar ! :-) (Source : Audit technique)

Enfin, force est de constater que l’on retombe à de nombreux endroits dans les travers du début des années 2000, et que certains écueils de sécurité connus quelques années auparavant ont tendance à refaire surface, notamment avec les applications mobiles, concluent-ils.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants