Accueil du forum
Tableau de bord
Liste des membres
Qui est en ligne?
Mon profil
Messages privés
Nouveau message
Recherche
Calendrier
Zine
URL de redirection
Créer un PasteBin
Classement (Top 100)
Proposez un challenge! 
Hacking
Hacking 
Spirit of hack
Messages: 32 816
Client IRC en ligne
|
De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH
|
|
22-07-2013, 20h18
(Modification du message : 22-07-2013, 20h19 par gruik.)
Message : #6
|
|
gruik
gouteur de savon   Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
RE: De La Sécurité informatique, ou le récit du dernier pwnage en date chez OVH
(22-07-2013, 18h14)Junky a écrit : Le faite qu'OVH répondre de cette manière (...) Ne se tire t'il pas une balle dans le pied en annoçant les possibles parades qu'il vont mettre en place ? ben... oui et non  je peux me tromper mais j'y vois une question de "responsabilité", au sens économique du terme, je m'explique; si à l'avenir OVH se fait à nouveau pirater, admettons à cause d'une faille dans les yubikeys, si c'est un 0day OVH pouvait pas savoir, c'est pas son boulot de sécuriser les produits qu'il achète, si c'était la faille était connue depuis 3 ans, OVH aurait du investir pour changer ses dongles, c'est l'attitude responsable à laquelle on s'attend et de l'autre coté, annoncer ce qui s'est passé, ce qui va être fait etc. c'est là aussi une façon de jouer la transparence et d'avoir une attitude responsable qui fricote avec la notion de "full disclosure" chère aux aficionados de la sécurité, chose importante pour une grosse entreprise dont l'un des soucis principaux est devenu au fil des années la fameuse "e-réputation", tout ça se tient dans une logique économique néanmoins, le propos n'est à mon avis pas celui de quelques "valeurs morales" à la sauce OVH  (22-07-2013, 19h40)0pc0deFR a écrit : Ce qui est inquiétant c'est que le hacker a réussi à accéder à la boite mail de l'admin certainement à coup de SE ou à coup de backdoor sur sa machine car une vuln sur le serveur mail aurait permis d'accéder directement aux infos des sys admin et donc aurait simplifier l'attaque. c'est pas faux... je revois encore le responsable sysadmin nous dire "vous utilisez pas votre boite gmail hein, y'en a un qui s'est fait gauler on lui a cloué les boules au dessus de son ecran pour en faire un sapin fraicheur etc."... ou quelque chose du même genre  mais à mon avis ça doit arriver plus souvent qu'on pense, "je suis sysadmin donc je connais l'informatique, je connais l'informatique donc la sécu j'en fais mon affaire" (note que ça marche en sens inverse également, j'ai vu des pentesters se prendre pour des sysadmins avec le succès d'un roti de veau lors d'un repas végétarien)idée un-peu-con-mais-ptet-pas-en-fait : tu veux un accès au vpn de ta boite, de manière à pouvoir faire du télétravail et notament consulter les mails du boulot depuis chez toi, la cellule sécurité te fait parvenir les certificats pour le vpn... par la poste ? (en fait le pôle sécu n'a probablement rien à voir là dedans, principe de la patate chaude, ils t'envoient les certificats sur ta boite mail boulot, et charge au destinataire de les rappatrier de manière sécurisée chez eux, cqfd )au final le problème est celui des accès externes à l'entreprise et des postes informatiques non-maîtrisés, c'est nécéssaire et néanmoins y'a aucun moyen pour l'entreprise pour s'assurer que ledit poste n'a pas été compromis... |
|
|
|
|
« Sujet précédent | Sujet suivant »
|
| Sujets apparemment similaires… | |||||
| Sujet | Auteur | Réponses | Affichages | Dernier message | |
| sécurité, tracking et anonymat | playzzzz | 13 | 632 |
23-07-2013, 15h14 Dernier message: gruik |
|
| La sécurité des mots de passe | InstinctHack | 6 | 374 |
19-04-2013, 12h17 Dernier message: InstinctHack |
|
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)