Un hacker a réussi à accéder à des dizaines de milliers d'emails et de données personnelles de certains députés européens, de leurs assistants et collaborateurs selon un article paru ce jour sur Médiapart. Le hacker avait pour objectif principal non pas de détruire des informations, mais de mettre en avant les failles du système et en particulier d'Exchange de Microsoft, dont il critique vivement le choix.
Capture d'écran d'emails de députés européens publiée par Médiapart.
Les rapports avec Microsoft pointés du doigt
En plein débat sur l'espionnage et l'utilisation de logiciels propriétaires, un hacker au chapeau blanc (« white hat ») a il y a quelques mois pu accéder aux courriels de six députés européens (dont trois Français), de divers assistants parlementaires et même de deux employés du service informatique et sécurité du parlement européen. Pour réaliser cette intrusion, cette personne s'est tout simplement posée près du parlement à Strasbourg et a attendu que certaines personnalités politiques se connectent à Internet en passant par son réseau Wi-Fi proposé par l'intermédiaire de son PC portable. Ensuite, le hacker récupère les mots de passe et identifiants des personnes connectées, lui permettant ainsi d'accéder à leurs comptes.
Aucune information n'a été publiée suite à ces intrusions. Le but n'était d'ailleurs pas de mettre en ligne des données sensibles et d'imiter Wikileaks ou Edward Snowden, mais plutôt de démontrer les failles du système et l'erreur du choix de Microsoft. En effet, qu'il s'agisse des ordinateurs ou encore des emails des parlementaires et de leurs collaborateurs, la firme américaine a signé de juteux contrats avec les élus européens, permettant ainsi à Windows et Exchange d'être présents sur des milliers d'appareils, ceci depuis une vingtaine d'années maintenant.
En 2011, alors qu'un contrat prenait fin vis-à-vis des ordinateurs des instances européennes, la Commission a finalement renégocié avec Microsoft, excluant de facto les solutions libres, qui permettaient pourtant une meilleure interopérabilité. « L'expiration du contrat qui liait la Commission à Microsoft aurait pu être l'occasion d'ouvrir le marché de la bureautique des institutions européennes, grâce à un marché public ouvert à tous » expliquait ainsi l'APRIL à l'époque.« Mais la Commission européenne a choisi de ne pas faire d'appel d'offres ni de procédure publique, en optant pour un marché négocié, qui l'autorise à négocier avec Microsoft pour l'achat des licences sans passer par un marché ni une mise en concurrence, donc sans que le Parlement européen et les citoyens aient leur mot à dire. »
En 2012, la Free Software Foundation Europe (FSFE) a été particulièrement choquée d'apprendre que Microsoft offrait ses logiciels aux employés du parlement européen (non pas les élus). « La concurrence et les questions d'approvisionnement mises à part, il ne semble pas adéquat que les personnes chargées de rédiger les textes de loi pour réguler le marché européen puissent accepter des cadeaux des entreprises qu'ils sont supposés réglementer » faisait remarquer Karsten Gerloff, le président de la FSFE.
Et si l'on se concentre sur la France, rappelons qu'en 2008, nous révélions que Microsoft avait proposé à au moins deux ministères nationaux une offre « open bar », c'est-à-dire à un accès complet aux solutions de Microsoft contre une certaine somme (100 ou 150 euros par poste).
« Que faut-il penser de notre processus démocratique ? »
Mais pour le hacker, interrogé par Médiapart, Microsoft n'est pas le seul problème. Ses intrusions, pouvant être réalisées par « n’importe qui » selon ses dires, avaient aussi une portée politique, avec en fond le manque de réaction des Européens vis-à-vis de l'espionnage de la NSA. « D’un côté, il y a les citoyens qui, aujourd’hui, ne savent quasiment rien de ce qui se passe dans les coulisses de ces institutions, des liens entre le monde politique et économique... Et de l’autre, nous avons des agences de renseignements quasiment omniscientes qui, grâce à leur espionnage, peuvent décider de l’avenir d’un homme politique ou influer sur des décisions » a-t-il ainsi déclaré.
Pour le hacker, la facilité avec laquelle il a réussi à s'introduire dans les messageries des personnalités politiques européennes est un problème majeur. Car si avec du matériel banal (un simple PC portable) il a pu en assez peu de temps obtenir des données personnelles de quatorze élus, assistants et employés du parlement à Strasbourg, « que faut-il penser de notre processus démocratique ? Ce sont ses bases mêmes qui sont remises en cause. » Ce hack a ainsi pour but de faire prendre conscience aux politiques européens de l'urgence d'une remise en question sur le plan de la sécurité.
Mais pour que la situation change, il faudra probablement que l'eau coule sous les ponts. Interrogée par notre confrère, Isabelle Attard, députée EELV à l’Assemblée nationale, indique ainsi que « le poids énorme des lobbys » est un frein évident au changement et à l'ouverture vers le logiciel libre. Plus grave encore, selon la députée, le problème dépasse largement le cas du lobbying : « il y a une totale méconnaissance de ces problématiques par les décideurs politiques. (...) Quand nous évoquons ces sujets, la plupart de nos collègues ne nous prennent pas au sérieux, ou n'en voient pas l’intérêt. On me dit "Isabelle, tu exagères…", voire "Tu es parano", même sur les bancs socialistes. Nous avons récemment essayé de recenser les élus qui se sentaient concernés, et nous n’avons trouvé que 10-12 députés, tous bords confondus. » Un constat amer partagé par Frédéric Couchet de l'APRIL, qui conclut : « On a l’impression que, malgré tout ce qui est révélé, ils s’en foutent… » Des propos qui confortent ainsi l'objectif du hacker.
Médiapart, qui assure avoir vérifié la véracité du hack, explique avoir décidé de mettre en ligne cette information « qui est d'un intérêt public évident ». Les réactions ne devraient pas tarder.
Commentaires (97)
#1
C’est désespérant
" />
#2
Prends toi ça dans les dents M$
" />
" />
Et vive le libre !
Espérons qu’après ça ils finiront par changer d’avis…
#3
en exploitant une faille d’Exchange ActiveSync
Il s’agit de Exchange 2013 ?
Et sinon concernant le libre, y a-t-il une solution qui permette de remplacer toutes les fonctionnalités d’exchange ? Et je parle d’une solution, pas de plein de petites qu’on mélangent entres elles ^^
#4
Ils avaient qu’à écouter une certaine personne et utiliser le pare-feu Open Office.
#5
Et nombreux sont, parmi ces guignols ignares, ceux qui prétendent avec une suffisance abjecte, vouloir “civiliser” internet ! Les cons ! Les gros cons !
" />
#6
Vive les prochaines élections a vote électronique pour faire changer les choses!
#7
Il aurait pu en profiter pour trouver des dossiers et les lâcher sur la toile.
" />
#8
#9
#10
Moi surtout ce qui me choque , c’est pas le fait qu’il y ait une faille MS …
Mais le fait que les députés qui traitent des dossiers délicats et privé
, aillent à la première borne wifi du coin , et qu’il n’y ait pas de sécurité sur leur portable pour se connecter uniquement à la borne du parlement de Strasbourg et être reconnu identifié , si encore fut il en avoir …
#11
#12
Vu ce qu’il a fait, plutôt que “un hacker accède aisément”, je dirais plutôt : “des députés européens transmettent volontairement leur mot de passe à un hacker.” Quand ton ordinateur t’explique qu’il y a un risque et que tu lui dis que tu t’en fous, c’est un peu de ta faute.
#13
#14
Un certains Louis aimerait bien que le hacker lui lise ses mails non lus, son stagiaire est parti avec le mot de passe.
#15
#16
On me dit “Isabelle, tu exagères…”, voire “Tu es parano”
La même réponse à ceux qui disent depuis longtemps qu’il y a des backdoors dans les produits Microsoft
#17
D’après l’article de Numerama :
(Mise à jour : en fait la technique consisterait à simuler un serveur Exchange sur le faux hotspot, auquel cas ActiveSync prévient que le serveur n’est pas celui attendu, et demande confirmation à l’utilisateur s’il souhaite tout de même s’y connecter… ce que beaucoup accepteraient. La responsabilité est donc partagée)
Donc en gros il s’agit d’un man-in-the-middle avec validation par l’utilisateur. Du coup n’importe quelle solution mail avec SSL aurait fait le meme warning, et si l’utilisateur click, il se fait avoir. Pour moi (avec les informations de Numerama), ce n’est pas du tout une vulnérabilité d’Exchange mais un problème de l’utilisateur (encore une fois).
Effet raté pour ce “hacker” s’il voulait démonter les solutions Microsoft, le libre n’aurait pas pu faire mieux face à la bêtise des utilisateurs (nos députés…).
#18
#19
Ou au moins une cnx 3G sur chaque portable itinérant.
#20
Plus une amende pour défaut de sécurisation dans la poire, non mais.
#21
#22
#23
#24
#25
D’après l’article de Numerama :
(Mise à jour : en fait la technique consisterait à simuler un serveur Exchange sur le faux hotspot, auquel cas ActiveSync prévient que le serveur n’est pas celui attendu, et demande confirmation à l’utilisateur s’il souhaite tout de même s’y connecter… ce que beaucoup accepteraient. La responsabilité est donc partagée)
ActiveSync n’est pas un logiciel, c’est juste le protocole de synchronisation.
la “faille” vient donc en réalité du client mail utilisé, certainement le client mail d’iOS ou android qui offre à l’utilisateur la possibilité de mettre à mal sa sécurité en acceptant de faire confiance à un certificat non valide.
la responsabilité n’est donc pas partagée avec active sync, mais partagée entre le client mail ios ou android (accepter un certif non valide n’aurait jamais dû être proposé à l’utilisateur) et l’utilisateur.
bref, Mediapart et ce script kiddie se font une joie de cracher sur MS. Et ce n’est pas la première fois que Mediapart sort des conneries sur MS. Bonjour la crédibilité.
en plus ils enchainent sur un speech anti MS à base de “ya des backdoors partout” qui n’a rien à voir avec l’objet de l’article.
probablement des journaleux qui ne trouvent rien à reprocher à l’imac à 2000€ qui trône sur leur bureau. Parce qu’Apple est trop cool pour se soumettre au patriot act probablement?
enfin, gros carton rouge à PCI qui reprend la fausse info selon laquelle il y a une faille dans Exchange sans réfléchir.
#26
#27
Autant je trouve que c’est n’importe quoi de dire qu’il y a une faille dans Exchange, autant je trouve que c’est n’importe quoi de dire que c’est la faute du client. C’est un principe bien connu de remonter une alerte lorsqu’un certificat SSL n’est pas valide, c’est à l’utilisateur d’être formé pour savoir réagir en conséquence. PEBKAC ici, selon moi.
pour le web ça me semble raisonnable de laisser l’utilisateur outrepasser l’avertissement de sécurité, car pas mal de sites légitimes présentent des erreurs de certificat.
mais pour un client mail (ou tout autre logiciel qui utilise des certificats), il ne faut pas laisser le choix à l’utilisateur. Il me semble qu’outlook laisse le choix, et c’est une mauvaise chose (au moins pour imap sur ssl, pour exchange je sais pas)
ça ne sert à rien au final d’implémenter des sécurités si on laisse la possibilité à des script kiddie de pousser l’utilisateur à effectuer une connexion non securisée.
c’est évident que l’utilisateur va accepter… Même un utilisateur confirmé se dira que c’est le service IT qui a dû laisser expirer le certif et acceptera d’ignorer le certif sans se soucier du risque potentiel.
bref, je blâme d’avantage les clients mails que les utilisateurs.
je peux pas blâmer l’utilisateur qui ne sait pas ce qu’est un certificat et qui appuie sur OK parce qu’il comprend pas la question et qu’il veut juste que ça marche parce qu’il a du boulot à faire.
#28
#29
«Mais la Commission européenne a choisi de ne pas faire d’appel d’offres ni de procédure publique, en optant pour un marché négocié, qui l’autorise à négocier avec Microsoft pour l’achat des licences sans passer par un marché ni une mise en concurrence, donc sans que le Parlement européen et les citoyens aient leur mot à dire. »
Ça me pose un gros problème ça… Comment est-il possible de ne pas faire d’appel d’offre public, de ne pas faire de mise en concurrence ?!? En gros un acteur est déjà implanté, alors on reprend le même à chaque fois sans envisager autre chose ? Complètement crétin…
#30
#31
#32
#33
Ça me pose un gros problème ça… Comment est-il possible de ne pas faire d’appel d’offre public, de ne pas faire de mise en concurrence ?!? En gros un acteur est déjà implanté, alors on reprend le même à chaque fois sans envisager autre chose ? Complètement crétin…
parce que tu crois qu’ils vont réécrire toutes leurs applications métier desktop et serveur tous les 3ans ?
bonjour le gâchis d’argent du contribuable si les politiciens votaient le passage à du full linux, puis 3ans plus tard vers du osx et du solaris, puis 3ans plus tard encore autre chose…
quand on a un parc applicatif existant sous Windows, à quoi bon faire un appel d’offre s’il n’y a pas de concurrent capable de maintenir la comptabilité avec les investissements existants?
ils doivent bien avoir des serveurs unix et oracle, et je doute qu’ils fassent des appels d’offre là dessus lorsqu’ils veulent juste pouvoir upgrader vers des versions plus récentes.
bizarrement ça choque personne dans ce sens là. Cela dit dans l’autre sens ça choque pas grand monde non plus, à part quelques nolifes qui sont en croisade contre MS et le capitalisme ;)
Dans ce cas là, c’est au protocole d’être clair sur la question (au passage, ActiveSync est bien un logiciel, le protocole c’est Exchange ActiveSync).
l’article parle d’activesync, sous entendu EAS (exchange activesync).
c’est évident qu’on ne parle pas du logiciel de synchro de Windows mobile 6 ^^
après que le protocole n’oblige pas le SSL n’est pas choquant. Pour des environnement de test et de debug ça peut être utile.
mais a partir du moment où une entreprise exige un certain niveau de sécurité, c’est emmerdant que les client mails autorisent l’utilisateur à ignorer les erreurs de certificat.
il aurait fallu que ce soit une option désactivée par défaut, cachée dans les options avancées pour éviter toute activation accidentelle.
#34
Affligeant
#35
#36
#37
La calamité Microsoft continue ses ravages.
" />
Oùu comment, à coups de lobbying, comment imposer un système révolu, une passoire informatique.
Ça craint, et c’est désespérant.
#38
#39
#40
#41
Je persiste à dire que les clients ne font que suivre une spec qui ne me semble pas précise (après une lecture de 30 lignes en 3 minutes ;)
en même temps c’est aussi aux devs qui implémentent les spécifications de faire preuve de bon sens.
je me souviens avoir lu il y a quelques années que si les navigateurs web appliquaient les spécifications HTML4 à la lettre, n’importe quel site pourrait provoquer l’upload de n’importe quel fichier via un input file, car le standard ne disait pas explicitement qu’on ne peut pas remplir le champ texte du contrôle input file via javascript.
heureusement, les développeurs de navigateurs web ont tous imposé cette restriction, bien que n’etant pas dictée par le standard.
je pense qu’on est dans un cas de figure similaire ici. Sauf que cette fois ci la restriction ne s’est pas (encore) imposée d’elle même…
cela dit, le fait de laisser l’utilisateur outrepasser l’avertissement de certificat invalide serait moins problématique si le message était effrayant (en rouge, avec un champ texte dans lequel il faut taper “Je comprend le risque” avant de pouvoir cliquer sur “continuer”). Tout ce joue dans la manière de présenter les choses. Un peu comme IE qui pose les questions à l’envers (genre “voulez vous ne pas charger le contenu non sécurisé?”), sachant que l’utilisateur lambda clique toujours sur oui.
#42
#43
La calamité Microsoft continue ses ravages.
Oùu comment, à coups de lobbying, comment imposer un système révolu, une passoire informatique.
Ça craint, et c’est désespérant
désespérant en effet, les trolls qui se réjouissent d’avoir lu de fausses informations.
fais au moins l’effort de lire les commentaires avant de poster.
#44
#45
#46
#47
Il n’y a pas 36 fournisseurs dans les environs, alors à quoi bon faire un appel d’offre ? Pourtant il y en a un de fait à chaque fois,
faire un appel d’offre en imposant comme condition que ce soit un OS compatible avec les applis Windows, c’est un peu comme faire une élection démocratique avec 1 seul candidat.
au final les libristes gueuleraient autant, et de l’argent et du temps auront été perdus pour rien avec un appel d’offre inutile. (wine non plus n’aurait pas été un candidat acceptable niveau compat).
S’ils doivent réécrire toutes leurs applications, cela prouve que le choix de windows a été une erreur dès le début. Maintenant, comme tu le dis, ils sont liés à microsoft.
parce que tu crois que si les applis avaient été écrite pour linux, un appel d’offre avec migration vers osx ou Android x86 sur desktop aurait conservé la compatibilité?
#48
#49
#50
#51
#52
#53
De toute façon, c’est bien fait pour leurs tronches, puisque ça saoule les gens qu’on leur explique que non, un ordi ce n’est pas du “yaka”, que Windows a donné de mauvaises habitudes aux gens : compte admin par défaut, applis qui font tout et même plus…
" />
Outlook avait aussi donné de mauvaises surprises plus d’une fois, mais bon, qu’importe, que tout continue ainsi, après tout, ce n’est pas faute d’avertir les gens.
Mme Michu, la principale intéressée de Microsoft, est aussi heureuse que le député en question, les AV sont activés, le pare-feu en béton armé est dressé comme un tempart de forteresse, ça roule.
#54
Insinuerais-tu que choisir Microsoft c’est comme être dans une dictature ? :-)
le probleme serait exactement le même avec un écosystème linux si suite à un appel d’offre une migration vers Android était envisagée (car plus sécurisé qu’un linux desktop)
les applis linux desktop ne tournent pas sous Android.
et même si les applis sont codées en java, la transition entre différents OS nécessite des adaptations pour les applis non triviales.
bref, en informatique c’est évident que quand on fait le choix d’un environnement et qu’on investit dessus, on ne change pas facilement sans avoir de solides raisons de vouloir le faire.
Donc pour toi, puisque que Microsoft a été choisi à un moment donné, on ne change rien, on reste chez eux ad vitam eternam ? Tu ne trouves pas que ça pose problème de NE PAS pouvoir changer de fournisseur ?!?…
si une DSI décide d’abandonner Windows, elle peut le faire progressivement (virtualisation et remote desktop).
mais encore faut il avoir des raisons de vouloir quitter Windows, et un réel intérêt à vouloir passer à autre chose.
Un appel d’offre n’est pas un appel à bouleversements inutiles. Si une administration est satisfaite avec Windows, oracle, aix, c’est normal qu’elle ne fasse pas un appel d’offre ayant pour but de tout refaire son SI from scratch.
#55
#56
C’est quoi cet Exchange qui, même après avoir cliqué oui par connerie OK, permet qu’on puisse accéder aux emails persos ???
exchange est un logiciel qui tourne coté serveur.
exchange ne demande rien à l’utilisateur, et n’est nullement en cause dans cette attaque.
en l’occurrence, ce sont les smartphones des députés (probablement pas des Windows phones au passage) qui ont été attaqués.
en se connectant automatiquement au réseau wifi du hacker, et en tentant de synchroniser la boite mail, ce n’est pas le serveur exchange qui leur a répondu, mais un faux serveur tournant sur la machine du hacker. Le hacker a utilisé un certificat autogénéré pour répondre à la tentative de synchro du client mail du smartphone (qui exige une connection ssl)
le client mail du smartphone se rend compte que le certificat est bidon, et il demande à l’utilisateur s’il veut quand même envoyer ses identifiants à ce serveur dont le certificat est bidon.
l’utilisateur répond oui, et le hacker récupère les identifiants.
aucune faille n’a été exploitée, juste le fait que la plupart des clients mails autorisent les utilisateurs à se connecter quand même à un serveur mail même si le certificat n’est pas valide.
une telle attaque aurait été faisable de la même façon avec un serveur imap avec ssl actif.
exchange n’y est strictement pour rien. Et Windows n’intervient nullement là dedans.
#57
D’autre part, en feuilletant le règlement de l’UE, on pourrait arguer que si marché public il y avait, MS serait disqualifié d’office;
" />
Sont exclus de la participation aux procédures de passation de marchés les candidats ou les soumissionnaires si : (…)
b. eux-mêmes ou les personnes ayant sur eux le pouvoir de représentation, de décision ou de contrôle ont fait l’objet d’une condamnation prononcée par un jugement rendu par une autorité compétente d’un État membre ayant force de chose jugée pour tout délit affectant leur moralité professionnelle; (1)
(…)
d. ils n’ont pas respecté leurs obligations relatives au paiement des cotisations de sécurité sociale ou leurs obligations relatives au paiement de leurs impôts selon les dispositions légales du pays où ils sont établis ou celles du pays du pouvoir adjudicateur ou encore celles du pays où le marché doit s’exécuter (2)
(Page 52)
(1) La condamnation pour abus de position dominante dans l’histoire des navigateurs
(2) Les risques (ou c’est déjà fait ?) de redressement fiscal en France
#58
ça jase beaucoup sur le fait de ne pas avoir fait d’appel d’offre.. mais avez-vous au moins de la quantité d’utilisateurs du parlement ?
Car en effet c’est pas une boite avec 200 Users hein … Le parlement c’est Strasbourg/Bruxelles/Luxembourg, on change pas tout un systeme comme ça d’un claquement de doigts.
A tous vous écouter il faudrait passer au libre partout et ça se fait tranquillou, derrière ça, y a les problèmes techniques qui vont y être liés, les plaintes utilisateurs qui ne vont plus rien comprendre au fonctionnement, sachant que déjà aujourd’hui c’est un boulot monstre de faire le support, et cela n’a rien à voir au fait que ce soit des députés/fonctionnaires, nous de notre côté sommes baignés la dedans donc pour nous tout parait logique, mais pensez à vos parent par exemple qui n’y comprennent rien non plus …
Evidemment que la faille sera toujours les utilisateurs et ça on y pourra jamais rien.
En fait autant les utilisateurs sont à coté de la plaque niveau technique, mais autant les “techniciens” adorateurs du “libre” le sont tout autant car ne comprenant strictement rien à la complexité et aux coûts de changement total d’un système info dans une boite d’une telle envergure.
#59
#60
#61
#62
#63
#64
#65
C’est ça, l’OpenData façon européenne
" />
#66
#67
Personne ne parle de VPN, mais c’est bien ce qui me choque le plus dans cette histoire.
" />
" />
Comment est-il encore possible de mettre un Exchange (ou autre, c’est le même topo) accessible directement depuis le WEB?
Internet c’est pour les données publiques, le reste, c’est du VPN
#68
#69
#70
Pfff…
" />
" />
Super, on va avoir droit à de jolie troll contre MS….
Pour connaitre un petit peu Exchange, le pb est simplement localisé sur des client ActiveSync des iPhone et android qui ne bloque pas la connexion si le certificat n’est pas valide. Avec le client Window Phone la connexion est impossible et cela depuis Windows Mobile 6.1 au minimum… Et cela est CONNU !!!!!!
Donc oui, les députés ont ignoré l’alerte de sécurité comme le ferait dame Michu en accédant à sa banque via un mail de fishing…
Et OUI la DSI du parlement est également en tord en ne bloquant pas les smartphone qui n’ont pas un comportement correcte.
La responsabilités de MS dans cette affaire est NULLE !!!
Les administrateurs ont la possibilité de verouillé et LE DSI a surement refusé de bloqué les smartphone non compliance pour faire plaisir aux députés de connecter leur iPhone…
On ne le répètera jamais assez, des données confidentielles n’ont rien à faire sur un smartphone, point.
Merci à pcinpact de corriger sa news afin d’être un peu plus explicite…
#71
Mouahaha Android sécurisé? J’aurais un truc compromettant à dire, je ne le dirais pas à côté de mon téléphone
Android en lui même est sécurisé.
le problème c’est les maj de securité. Mais on peut tout a fait imaginer un fork Android sur x86 qui soit mis à jour régulièrement comme n’importe quelle distrib linux.
au final, ça laisserait à l’utilisateur la possibilité d’installer des logiciels tiers sans trop de risque car l’environnement est sandboxé.
comparé à un linux desktop ou à un Windows desktop (hors WP et WindowsRT), c’est plus sécurisé car même en ne donnant pas le mdp admin à l’utilisateur, il peut pourrir son compte avec des malwares tournant en mode utilisateur. Au final pour empêcher cela on est obligé de bloquer tous les logiciels non approuvés (sauf sur win8 entreprise avec applocker où on peut bloquer les applis win32 non approuvées et laisser l’utilisateur installer les applis WinRT qu’il veut sans risque)
avoir un OS où toutes les applis doivent être sandboxées permet de laisser du champ libre à l’utilisateur tout en ne sacrifiant pas sa sécurité.
bref, c’était du HS, mais c’était juste pour rappeler qu’aux mains d’un utilisateur lambda, un linux desktop présente plus de risques qu’un Android.
#72
Mouais, en fait, en lisant des articles çà et là sur le net, le hacker n’a pas l’air de vouloir remettre en cause seulement le choix de MS, mais surtout le manque de sécurité du SI du parlement européen et le manque d’“éducation” sur le sujet des parlementaires.
Et, effectivement, il serait temps que les mentalités de nos chers (très chers, même) élus évoluent… ainsi que, probablement, celles des admins de leur SI qui se doivent, au minimum, et au-delà d’éduquer leurs utilisateurs, d’empêcher de telles connexions - y compris en imposant des téléphones sécurisés (genre Bull Hoox m2 ou autre) à la place des derniers gadgets à la mode pour les connexions au réseau interne…
Ceci dit, c’est vrai aussi pour 95% des entreprises, mais le problème est différent (il n’y a qu’elles qui en pâtissent ou leurs clients ou fournisseurs… c’est à dire déjà pas mal de monde…).
#73
#74
Hm donc j’ai cherché cette “faille Exchange” en lisant l’article, je l’ai pas trouvé (y’en a pas, cf. ce com ou celui-ci).
" />
J’en apprends plus dans les commentaires que dans la news, ça me fait peur, c’est rare chez PCI qu’on traite aussi mal l’info.
#75
#76
Nil, je sais que l’on est vendredi mais celui-ci est trop gros, passera pas
" />
Au moins ca permet aux ayatollahs du libre et autres MS haters de se défouler sans comprendre que, sur ce coup, le niveau de responsabilité de MS est égale 0.
#77
#78
#79
Idem que le commentaire précédent. J’ai eu plus d’infos dans les commentaires que par l’article.
Sinon ce qui me choque le plus c’est qu’il y ait pas d’appel d’offre….
#80
Donc oui, les députés ont ignoré l’alerte de sécurité comme le ferait dame Michu en accédant à sa banque via un mail de fishing…
Et OUI la DSI du parlement est également en tord en ne bloquant pas les smartphone qui n’ont pas un comportement correcte.
La responsabilités de MS dans cette affaire est NULLE !!!
Les administrateurs ont la possibilité de verouillé et LE DSI a surement refusé de bloqué les smartphone non compliance pour faire plaisir aux députés de connecter leur iPhone…
On ne le répètera jamais assez, des données confidentielles n’ont rien à faire sur un smartphone, point.
Entièrement d’accord avec toi mais que veux tu, le bon sens en terme de sécurité ne pèse malheureusement pas bien lourd face aux modes genre BYOD et la pression des utilisateurs pour utiliser leur joujou au boulot. Sur un parc maîtrisé de bout en bout, tu peux de mémoire bloquer par GPO les certificats autosignés ou invalides, avec des applis diverses et variées, c’est plus difficile…
T’as beau le dire le répéter, tu passes pour un parano, voir un vieux schnok qui veut pas évoluer.
#81
#82
#83
#84
#85
#86
#87
Il a pas du trouver grand chose dans la BAL des deputés Européens puisqu’ils ne font rien. Ce sont les assistants qu’il faut espionner.
#88
#89
#90
A lire ici les gens qui accablent Microsoft, je me dis que les gros “bobos du tout libre tout mignon” ont encore de beaux jours devant eux.
" />
Et puis bon, un sniffer wifi, ça c’est du hack de PGM
Résumé de l’article ici : 4 ligne de technique, tout le reste pour dire que crosoft est un gros vilain.
Bref…
#91
#92
#93
#94
#95
#96
#97