Bercy s'explique sur les failles des sites gouvernementaux

Bercy s’explique sur les failles des sites gouvernementaux

Défaillance

Avatar de l'auteur
Xavier Berne

Publié dans

Logiciel

07/09/2012 3 minutes
56

Bercy s'explique sur les failles des sites gouvernementaux

Mercredi, Le Canard Enchaîné révélait que d’importantes failles avaient été découvertes dans au moins une demi-douzaine de sites gouvernementaux (voir note article : D'importantes failles détectées sur des sites gouvernementaux). Le ministère de l’Économie vient de répondre à nos questions, apportant quelques précisions et démentis sur certaines informations du Canard.

ministère économie

 

Comme l’affirmait le Canard Enchaîné, c’est bien un problème de logiciel qui est à l’origine de ces failles. « Le 28 août dernier, en fin de matinée, une faille logicielle a été identifiée chez notre prestataire en charge de la maintenance et de l’hébergement des sites internet ministériels, dans l’application Drupal de gestion de ces sites », indique le ministère. Deux problèmes sont ainsi repérés : « la possibilité de récupérer les login des utilisateurs du back office à l’aide d’une syntaxe particulière » d’une part, et, d’autre part, « la page d’accueil du back office, avec les zones d’identification (login/password), était visible sur le front office ».

 

Il s’avère que le logiciel libre Drupal était bien utilisé dans une version 6.20 contenant des vulnérabilités. Ces dernières avaient pourtant été signalées et corrigées bien avant la détection de ces failles... Un patch correctif a d’ailleurs été appliqué par le prestataire du ministère « dans les deux heures » suivant l'identification des problèmes selon Bercy, qui précise que « les services de sécurité informatique n’ont détecté aucune trace d’intrusion durant la période ».

Le ministère relativise les conséquences des failles

Toutefois, contrairement au Canard Enchaîné, le ministère relativise les conséquences de telles failles : « si une personne mal intentionnée avait pu récupérer les logins des utilisateurs du back office, (en trouvant la syntaxe spécifique), elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau. Cette personne aurait donc été dans l’impossibilité d’acquérir les droits d’administrateurs et de modifier les contenus du site ». Pour le ministère, pas de doute : « En dépit de la faille identifiée, aucune prise de contrôle du site n’était donc possible et aucun contenu n’a pu être modifié par des personnes non habilitées ».

 

Par ailleurs, l’utilisation d’un mot de passe « password » pour accéder à la fonction d'administrateur d'un des sites (évoquée par le Canard) a été vivement démentie par Bercy. 

 

Le ministère précise enfin avoir « demandé à son prestataire de veiller à mieux sécuriser en continu les sites ministériels ».

Écrit par Xavier Berne

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le ministère relativise les conséquences des failles

Fermer

Commentaires (56)


CryoGen
Le 07/09/2012 à 11h 25



Le ministère précise enfin avoir « demandé à son prestataire de veiller à mieux sécuriser en continu les sites ministériels ».





Et un vrai contrat avec des clauses de SLA relatives aux mises à jours et correctifs ? <img data-src=" /> Je suppose que l’état paye un bras le service comme d’habitude.


sirius35
Le 07/09/2012 à 11h 25



Le ministère précise enfin avoir « demandé à son prestataire de veiller à mieux sécuriser en continu les sites ministériels ».





c’est un peu légers ce type de bourde je trouve pour un prestataire externe censé garantir la sécurité des sites de l’état…. pour un tel service on devrait blinder un max et vérifier continuellement…




Toutefois, contrairement au Canard Enchaîné, le ministère relativise les conséquences de telles failles : « si une personne mal intentionnée avait pu récupérer les logins des utilisateurs du back office, (en trouvant la syntaxe spécifique), elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau. Cette personne aurait donc été dans l’impossibilité d’acquérir les droits d’administrateurs et de modifier les contenus du site ». Pour le ministère, pas de doute : « En dépit de la faille identifiée, aucune prise de contrôle du site n’était donc possible et aucun contenu n’a pu être modifié par des personnes non habilitées »







c’est beau d’entendre les gens parler d’un sujet qu’ils ne maitrises pas…..



CryoGen
Le 07/09/2012 à 11h 29

La date de sortie de drupal 6.20 : 15 décembre 2010 <img data-src=" />

Champion du monde.



EDIT : L’interpreteur de PCI n’aime pas les url contenant des crochets :o

http://drupal.org/node/3060/release?api_version[]=87




Il s’avère que le logiciel libre Drupal était bien utilisé dans une version 6.20 contenant des vulnérabilités. Ces dernières avaient pourtant été signalées et corrigées bien avant la détection de ces failles… Un patch correctif a d’ailleurs été appliqué par le prestataire du ministère « dans les deux heures », selon Bercy, qui précise que « les services de sécurité informatique n’ont détecté aucune trace d’intrusion durant la période ».



Je comprend pas très bien l’explication là.



Le presta a appliqué le patch corrigeant les vulnérabilités dans les deux heures après la publication de celui-ci. Et deux ans après, aucune montée de version de Drupal n’a été faite, et les vulnérabilités ont été exploitées malgré le patch <img data-src=" />



Et alors là, c’est le pompon :



« si une personne mal intentionnée avait pu récupérer les logins des utilisateurs du back office, (en trouvant la syntaxe spécifique), elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau. Cette personne aurait donc été dans l’impossibilité d’acquérir les droits d’administrateurs et de modifier les contenus du site ». Pour le ministère, pas de doute : « En dépit de la faille identifiée, aucune prise de contrôle du site n’était donc possible et aucun contenu n’a pu être modifié par des personnes non habilitées »





<img data-src=" />


canard_jaune
Le 07/09/2012 à 11h 42



includes/bootstrap.inc in Drupal 5.x before 5.12 and 6.x before 6.6, when the server is configured for “IP-based virtual hosts,” allows remote attackers to include and execute arbitrary files via the HTTP Host header.



http://www.cvedetails.com/vulnerability-list/…Drupal-6.2.html



Avec une trentaine d’autres vulnérabilités touchant Drupal 6.2, c’est bien pire que ce qu’ils essaient de nous faire croire.



si une personne mal intentionnée avait pu récupérer les logins des utilisateurs du back office, (en trouvant la syntaxe spécifique), elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau.



<img data-src=" />

A voir combien de secondes leur site tiendra contre une attaque par dictionnaire.


tAran
Le 07/09/2012 à 11h 49







sirius35 a écrit :



c’est un peu légers ce type de bourde je trouve pour un prestataire externe censé garantir la sécurité des sites de l’état…. pour un tel service on devrait blinder un max et vérifier continuellement…





+1…

Il y en a, dès que le contrat est signé, on a l’impression que le service s’arrête là..



Shulk Abonné
Le 07/09/2012 à 11h 51



si une personne mal intentionnée avait pu récupérer les logins des utilisateurs du back office, (en trouvant la syntaxe spécifique), elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau.



“mode troll”

Comme le nuage de Tchernobyl qui a été stoppé à la frontière, nan tu passeras pas ! ! ! <img data-src=" />

“/mode troll”





canard_jaune
Le 07/09/2012 à 11h 53

Correction du post précédent

C’était pas la bonne version de Drupal. <img data-src=" />








yukon_42 a écrit :



c’est beau d’entendre les gens parler d’un sujet qu’ils ne maitrises pas…..







un peu comme toi et la conjugaison <img data-src=" />



Florent_ATo
Le 07/09/2012 à 12h 07

Non rien :)


molybdène Abonné
Le 07/09/2012 à 12h 12







canard_jaune a écrit :



A voir combien de secondes leur site tiendra contre une attaque par dictionnaire.







C’est écrit dans la news d’hier <img data-src=" />



le mot de passe permettant d’accéder à la fonction d’administrateur d’un des sites était tout simplement « password »…



<img data-src=" />



baldodo
Le 07/09/2012 à 12h 25







ActionFighter a écrit :



Je comprend pas très bien l’explication là.



Le presta a appliqué le patch corrigeant les vulnérabilités dans les deux heures après la publication de celui-ci.







non.



Si je comprends bien ils ont appliqué le patch deux heures après qu’ils se soient rendus compte de l’intrusion … c’est à dire plusieurs mois après la sortie officielle du correctif.



sirius35
Le 07/09/2012 à 12h 30

ces blaireaux aux lieu d’avouer qu’il y a eu un impair et d’en profiter pour dénoncer leur contrat public (il doit bien y avoir une clause de responsabilité du prestataire…) il minimisent et mettent de la pommade… genre : “je vais bien tout va bien…” (sketch Dany Boon)



Il ne faut pas que nos administrations se voilent la face… bon sang c’est l’image de ces derniers qui est exposée, pas du prestataire (qui dans ce type de communication reste bien anonyme et tout bénef pour lui…).



A les écouter c’est limite de la faute du libre…



Ha au fait Messieurs c’est bien beau d’appliquer un patch (dans les 2h… mais les 2h d’il y a 2 ans ou dans les 2h 2ans plus tard ?)… encore faut-il vérifier qu’il remplisse bien les fonctions pour lequel il existe…. et vérifier quotidiennement que la protection existante remplisse toujours sa fonction première !! Ce n’est pas le site du boucher du coin quand même !!!


psn00ps
Le 07/09/2012 à 12h 34







baldodo a écrit :



non.



Si je comprends bien ils ont appliqué le patch deux heures après qu’ils se soient rendus compte de l’intrusion … c’est à dire plusieurs mois après la sortie officielle du correctif.





:fixed:

c’est à dire plusieurs années après la sortie officielle du correctif.









baldodo a écrit :



non.



Si je comprends bien ils ont appliqué le patch deux heures après qu’ils se soient rendus compte de l’intrusion … c’est à dire plusieurs mois après la sortie officielle du correctif.





C’est mieux formulé maintenant. Le “suivant l’identification des problèmes” a été ajouté après mon commentaire.



En relisant, c’était plutôt évident, mais on est dredi <img data-src=" />



Consultant
Le 07/09/2012 à 12h 36

pour bien connaitre le sujet de la prestation avec l’Etat Français



mon seul commentaire c’est mort de rireeeeeeeeeeee <img data-src=" />


tAran
Le 07/09/2012 à 12h 37

Dans un sujet moindre, entre les répertoires non cachés sur les sites gouvernementaux et les mises à jours Apache, il y a du boulot pendant 10 ans <img data-src=" />


ArhK
Le 07/09/2012 à 12h 38







Consultant a écrit :



pour bien connaitre le sujet de la prestation avec l’Etat Français



mon seul commentaire c’est mort de rireeeeeeeeeeee <img data-src=" />





Bah ce sont de bonnes vaches à lait comme on les aime dans le conseil quoi…..



C’est un peu terrifiant quand on voit la médiocrité hallucinante au niveau “Pilotage des prestations externalisées”, et le fait que ce soit nous qui les payions indirectement….<img data-src=" />



doudawak
Le 07/09/2012 à 12h 44







daroou a écrit :



un peu comme toi et la conjugaison <img data-src=" />







omg, +1



Consultant
Le 07/09/2012 à 12h 44







ArhK a écrit :



Bah ce sont de bonnes vaches à lait comme on les aime dans le conseil quoi…..







Salut Arhk,



Dans certains domaines justement non, le plus mauvais payeur de France ? l’état Français ! le plus mauvais en MOA ? l’état Français !

Ca apres pour te faire faire 15 000 réunions qui servent à rien des étude des comités des “j occupe mon temps en réunion” savent bien faire…



Un “truc” bien aussi, les fameux PAQ (plan d’assurance qualité) qui sont tres beau sur le papier mais qui sont jamais mis en place (et souvent pas par faute du prestataire..)





C’es<img data-src=" /><img data-src=" />t un peu terrifiant quand on voit la médiocrité hallucinante au niveau “Pilotage des prestations externalisées”, et le fait que ce soit nous qui les payions indirectement….<img data-src=" />





oui <img data-src=" />



Anonyme
Le 07/09/2012 à 12h 56

j’ai arrêté de lire dés que j’ai vu php drupal… quand on cherche, on trouve..


Anonyme
Le 07/09/2012 à 12h 57

j’ai arrêté de lire dés que j’ai vu php drupal… quand on cherche, on trouve..


nicobiz
Le 07/09/2012 à 13h 04

Défaut de sécurisation, c’est Hadopi qui va être contente <img data-src=" />


sylvebarbe
Le 07/09/2012 à 13h 14

“les services de sécurité informatique n’ont détecté aucune trace d’intrusion durant la période ”



Bah oui, c’est évident, une intrusion si elle est réussie ne doit pas se voir, ça coule de source <img data-src=" /> En d’autres termes, ce n’est pas parce que le service de sécurité n’a rien vu que personne n’est venu les visiter… CQFD


Yutani
Le 07/09/2012 à 13h 31







sylvebarbe a écrit :



“les services de sécurité informatique n’ont détecté aucune trace d’intrusion durant la période ”



Bah oui, c’est évident, une intrusion si elle est réussie ne doit pas se voir, ça coule de source <img data-src=" /> En d’autres termes, ce n’est pas parce que le service de sécurité n’a rien vu que personne n’est venu les visiter… CQFD





ça me rappelle un lycée où je bossais, il y avait un code à 4 chiffres pour accéder au réseau ‘normal’ (consultation de fichiers, éditions limitées de données etc…) tu prenais le même code et tu ajoutais R au bout, tu passais en root … :facepalm:



Futureman
Le 07/09/2012 à 13h 47

Et sinon la CNI next gen c’est pour quand ? <img data-src=" />

<img data-src=" />


XalG
Le 07/09/2012 à 13h 47







doudawak a écrit :



omg, +1







<img data-src=" />



Ils n’ont pas mis en place une solution de pare-feu open office ?



Yutani
Le 07/09/2012 à 13h 49







nick_t a écrit :



Et sinon la CNI next gen c’est pour quand ? <img data-src=" />

<img data-src=" />





alors nous sommes ‘dredi 7/09/2012 …. disons hmmmm … jamais <img data-src=" />



Xavier.B
Le 07/09/2012 à 13h 53







ActionFighter a écrit :



C’est mieux formulé maintenant. Le “suivant l’identification des problèmes” a été ajouté après mon commentaire.





Oui, désolé de ne pas l’avoir signalé plus tôt dans les commentaires. Je voulais lever toute ambiguïté, et j’étais pris par le temps donc j’ai fait au plus pressé. Donc oui, tu avais bien lu :)



sanscrit
Le 07/09/2012 à 13h 58

On ne pourrais pas avoir le nom du prestataire ? du moins savoir juste si ce n’est pas le plus grosse SSII française avec un pdg pistonné ? avec des contrat arrangé.


tAran
Le 07/09/2012 à 14h 02







sscrit a écrit :



On ne pourrais pas avoir le nom du prestataire ? du moins savoir juste si ce n’est pas le plus grosse SSII française avec un pdg pistonné ? avec des contrat arrangé.





Toi, tu parles du pote de nos amis Portos et Aramis <img data-src=" />



CUlater
Le 07/09/2012 à 14h 06



elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau

Et le fameux mdp “password”, c’était pas chez eux?


Fuinril
Le 07/09/2012 à 14h 07







Shulk a écrit :



“mode troll”

Comme le nuage de Tchernobyl qui a été stoppé à la frontière, nan tu passeras pas ! ! ! <img data-src=" />

“/mode troll”









Hem…



Ton login PCI est publique pour mémoire…



Faut arrêter un peu… des sites qui sont mis à jour à chaque maj de leur CMS c’est plutôt ça l’exception…



En l’occurrence les vulnérabilités étaient mineures et/ou inexploitables, le presta semble être le même pour les divers sites, ce qui tend à indiquer un spécialiste Drupal susceptible d’avoir des modules qui ne sont pas compatibles et/ou pas facilement migrables (fréquent dans le cas où on utilise un ou plusieurs module privé pour “patcher” les failles d’un CMS).



Il peut y avoir des contraintes de serveur (version de PHP par exemple) ou 1000 autres raisons de ne pas mettre à jour… L’introduction de bugs et/ou de vulnérabilités dans les nouvelles versions n’étant que l’une d’elle…



Fuinril
Le 07/09/2012 à 14h 10







sscrit a écrit :



On ne pourrais pas avoir le nom du prestataire ? du moins savoir juste si ce n’est pas le plus grosse SSII française avec un pdg pistonné ? avec des contrat arrangé.







Bienvenu dans le monde merveilleux des web agency et des contrats publiques : presque tous les appels d’offres de mairie/site étatique/département sont plus ou moins magouillés (pdg du même courant qui reçoit les offres des autres participants, ou les critères d’attribution détaillés, etc…)









Xavier.B a écrit :



Oui, désolé de ne pas l’avoir signalé plus tôt dans les commentaires. Je voulais lever toute ambiguïté, et j’étais pris par le temps donc j’ai fait au plus pressé. Donc oui, tu avais bien lu :)





Pas de soucis <img data-src=" />



Je comprend que ça puisse être dur de retranscrire des explications foireuses <img data-src=" />



Merci pour ce travail journalistique <img data-src=" />









daroou a écrit :



un peu comme toi et la conjugaison <img data-src=" />









oui sauf que c’est de la lecture/écriture…. <img data-src=" />



Yutani
Le 07/09/2012 à 14h 33







yukon_42 a écrit :



oui sauf que c’est de la lecture/écriture…. <img data-src=" />





a moins que ça ne soit que de la lecture seule <img data-src=" />



————&gt;[ <img data-src=" /> ]



ArhK
Le 07/09/2012 à 14h 57







Consultant a écrit :



Salut Arhk,



Dans certains domaines justement non, le plus mauvais payeur de France ? l’état Français ! le plus mauvais en MOA ? l’état Français !

Ca apres pour te faire faire 15 000 réunions qui servent à rien des étude des comités des “j occupe mon temps en réunion” savent bien faire…



Un “truc” bien aussi, les fameux PAQ (plan d’assurance qualité) qui sont tres beau sur le papier mais qui sont jamais mis en place (et souvent pas par faute du prestataire..)







oui <img data-src=" />







Je pense que ça dépend de quelle organisme étatique on parle en effet.



Pour le coup des PAQ merdiques, c’est avant tout la faute du prestataire qui s’est branlé la nouille a s’engager sur tout un tas de mesures/modes opératoires qu’il n’est pas en mesure de respecter opérationnellement….



Après, si en interne personne ne recadre ni ne pilote le prestataire, faut pas s’étonner…



Quand je vois les clauses contractuelles et les modalités de calcul de pénalités dans les contrats sur lesquels je bosse, ya vraiment de quoi se pendre…<img data-src=" />









Yutani a écrit :



a moins que ça ne soit que de la lecture seule <img data-src=" />



————&gt;[ <img data-src=" /> ]











un petit chmod et c’est bon <img data-src=" />



baldodo
Le 07/09/2012 à 16h 26







ArhK a écrit :



Quand je vois les clauses contractuelles et les modalités de calcul de pénalités dans les contrats sur lesquels je bosse, ya vraiment de quoi se pendre…<img data-src=" />







y a des sociétés qui paient les pénalités ? si elles sont même pas capable d’avoir un directeur qui soit de la même promo que son alter ego de l’organisme public c’est bien fait pour elles <img data-src=" /> (humour caricatural noir)



Anonyme_f7d8f7f164fgnbw67p
Le 07/09/2012 à 16h 34







ArhK a écrit :



Je pense que ça dépend de quelle organisme étatique on parle en effet.



Pour le coup des PAQ merdiques….





C’est aussi valable dans le privé, je suis consultant dans les boites de pharma en bioprocess (donc un sujet très sensible : vaccins, anticancereux parentéraux, insuline, etc…), et les PAQP foireux, la réunionite à outrance, les glandus aux postes de décision, les jean-foutre, les contrats vérolés, les failles de sécurité béantes, les sous-trainants qui font n’imp, etc. tout ca ca existe aussi dans mon milieu, et dans bien d’autres du privé..



Mes anciennes boites bossaient aussi pour le nucléaire (super sensible, donc), la chimie fine, la chimie lourde, et l’armement : on y trouve exactement les mêmes merdes.



L’Etat en tant que “société”, c’est ni pire ni meilleur que le privé. Y’a du bon et du mauvais dans les deux, et souvent le même mauvais, d’ailleurs.



Yutani
Le 07/09/2012 à 17h 04







yukon_42 a écrit :



un petit chmod et c’est bon <img data-src=" />





pour beaucoup cette commande ressemble a extraire Excalibur du rocher <img data-src=" />

(moi y compris, vu mon niveau en ligne de commande)



WereWindle
Le 08/09/2012 à 04h 58







Yutani a écrit :



pour beaucoup cette commande ressemble a extraire Excalibur du rocher <img data-src=" />

(moi y compris, vu mon niveau en ligne de commande)





c’est un bête changement de permission d’accès (lecture/écriture/execution)

Le chroot est plus complexe à piger… mais chmod… <img data-src=" />



Deep_INpact
Le 08/09/2012 à 05h 16

“dormez tranquille, nous sommes des gens sérieux et nos choix sont toujours les meilleurs…”


Sharkiller
Le 08/09/2012 à 09h 44



« si une personne mal intentionnée avait pu récupérer les logins des utilisateurs du back office, (en trouvant la syntaxe spécifique), elle aurait été « bloquée » par le mot de passe, inaccessible à ce niveau »



Sauf que si via une syntaxe spécifique quelqu’un arrive à obtenir les logins, il devrait aussi arriver à obtenir les mots de passe…


Mihashi Abonné
Le 08/09/2012 à 09h 54







Fuinril a écrit :



Hem…



Ton login PCI est publique pour mémoire…











Sharkiller a écrit :



Sauf que si via une syntaxe spécifique quelqu’un arrive à obtenir les logins, il devrait aussi arriver à obtenir les mots de passe…







Un login (identifiant en français) est généralement constitué d’un pseudo (nom d’utilisateur) et d’un password (mot de passe)…



Sharkiller
Le 08/09/2012 à 10h 09







Mihashi a écrit :



Un login (identifiant en français) est généralement constitué d’un pseudo (nom d’utilisateur) et d’un password (mot de passe)…





Il me semblaient que les sites qui te demandent ton “login” parlent de ton nom d’utilisateur.

En tout cas, on lit clairement que le ministre parle de “login” pour dire “nom d’utilisateur”, donc c’est surtout en référence à son texte.



Fuinril
Le 08/09/2012 à 11h 35







Mihashi a écrit :



Un login (identifiant en français) est généralement constitué d’un pseudo (nom d’utilisateur) et d’un password (mot de passe)…







Non.



Un login (ou identifiant si tu veux) c’est une chaîne de caractères. Sur certains sites c’est les pseudos, sur d’autres les mails, sur d’autres des chaines de caractères uniques…. c’est très variable. C’est pour ça qu’on parle de couple login/password.







Sharkiller a écrit :



Sauf que si via une syntaxe spécifique quelqu’un arrive à obtenir les logins, il devrait aussi arriver à obtenir les mots de passe…







<img data-src=" />



ah bon ? Bon petite explication de la “syntaxe” : tu essayes de te connecter avec un login et un mot de passe. Le login n’existe pas tu as un message qui te dit “votre identifiant ou votre mot de passe est incorrect”, si il existe tu en as un autre du type “votre mot de passe est incorrect”. Tu crois vraiment qu’il y a une page dans l’admin de Drupal qui liste les membres du groupe admin accessible en publique ?<img data-src=" />



C’est peut être pas le meilleur CMS php, d’ailleurs je ne l’aime pas, mais faut pas déconner, Drupal c’est quand même un CMS très sérieux <img data-src=" />



Mihashi Abonné
Le 08/09/2012 à 11h 44







Fuinril a écrit :



Non.



Un login (ou identifiant si tu veux) c’est une chaîne de caractères. Sur certains sites c’est les pseudos, sur d’autres les mails, sur d’autres des chaines de caractères uniques…. c’est très variable. C’est pour ça qu’on parle de couple login/password.





<img data-src=" />

Wikipédia :

En informatique, on appelle identifiants les informations permettant à une personne de s’identifier auprès d’un système. Il s’agit le plus souvent des informations suivantes : un nom d’utilisateur et un mot de passe.

For systems where a user must type in a username and password the username and password combination is their login.



Anonyme
Le 08/09/2012 à 20h 17







Sharkiller a écrit :



Sauf que si via une syntaxe spécifique quelqu’un arrive à obtenir les logins, il devrait aussi arriver à obtenir les mots de passe…





Non ça n’a rien à voir car les logins sont en clair alors que les mots de passe sont censés être chiffrés. Tout ce que tu obtiendras, c’est le hash du mot de passe.




2show7
Le 09/09/2012 à 09h 07

“Tout va très bien, Madame la Marquise…..”



<img data-src=" />



<img data-src=" />



<img data-src=" />


dualboot
Le 09/09/2012 à 09h 56







CryoGen a écrit :



Et un vrai contrat avec des clauses de SLA relatives aux mises à jours et correctifs ? <img data-src=" /> Je suppose que l’état paye un bras le service comme d’habitude.





Malheureusement non. Il pense souvent que logiciel libre c’est un logiciel gratuit et donc il paie que dalle.

Il n’y a que les logiciels proprio qui bénéficient d’une maintenance à des prix exorbitants.



De plus pour un ministère il n’y a pas un budget global pour leur services informatiques.



Sharkiller
Le 09/09/2012 à 10h 16







Fuinril a écrit :



Non.



Un login (ou identifiant si tu veux) c’est une chaîne de caractères. Sur certains sites c’est les pseudos, sur d’autres les mails, sur d’autres des chaines de caractères uniques…. c’est très variable. C’est pour ça qu’on parle de couple login/password.







C’était ce qu’il me semblait aussi, mais j’ai regardé la définition de “login”, et il apparaît que c’est bien la combinaison identifiant/mot de passe.



the term login is a noun and refers to the credentials required to obtain access

(Wikipedia)









Fuinril a écrit :



ah bon ? Bon petite explication de la “syntaxe” : tu essayes de te connecter avec un login et un mot de passe. Le login n’existe pas tu as un message qui te dit “votre identifiant ou votre mot de passe est incorrect”, si il existe tu en as un autre du type “votre mot de passe est incorrect”. Tu crois vraiment qu’il y a une page dans l’admin de Drupal qui liste les membres du groupe admin accessible en publique ?<img data-src=" />







Justement, oui, il me semble que quand tu te connectes à l’interface d’administration tu peux voir la liste des utilisateurs, ainsi que leur type d’accès.

Mais pour la “syntaxe spécifique”, je pensais à une méthode permettant d’exploiter une faille (genre par injection SQL) pour avoir accès aux logins. Donc même chose pour les mots de passe.







TheSamFrom1984 a écrit :



Non ça n’a rien à voir car les logins sont en clair alors que les mots de passe sont censés être chiffrés. Tout ce que tu obtiendras, c’est le hash du mot de passe.





Dépendant de la méthode de hashage utilisée, avec les rainbow tables ça pourrait ne pas être trop un problème.





Enfin, je suis pas spécialiste en sécurité, loin de là. La théorie, c’est toujours plus beau. <img data-src=" />



levhieu
Le 10/09/2012 à 06h 59







Fuinril a écrit :





ah bon ? Bon petite explication de la “syntaxe” : tu essayes de te connecter avec un login et un mot de passe. Le login n’existe pas tu as un message qui te dit “votre identifiant ou votre mot de passe est incorrect”, si il existe tu en as un autre du type “votre mot de passe est incorrect”. Tu crois vraiment qu’il y a une page dans l’admin de Drupal qui liste les membres du groupe admin accessible en publique ?<img data-src=" />









Déjà ça c’est pas bien.

En cas d’échec de connexion, un système dont le message d’erreur varie donne une information qui peut être utilisée à des fins malveillantes.



Fuinril
Le 10/09/2012 à 10h 32







levhieu a écrit :



Déjà ça c’est pas bien.

En cas d’échec de connexion, un système dont le message d’erreur varie donne une information qui peut être utilisée à des fins malveillantes.







Qui a dit que c’était bien ? C’est une vulnérabilité mineure, tellement mineure que beaucoup de services font le choix de laisser le nom d’utilisateur publique, mais ça n’en est pas moins une vulnérabilité.



De là à insulter la boîte qui s’occupe de la maintenance des sites pour ne pas avoir patché cette vulnérabilité (et non faille) en ne sachant absolument pas ce que cela pouvait entrainer en terme de charge de travail (et donc de coût, au final ce sont toujours nos impôts qui payent) il y a un monde…