D'un coté, il y a des cachottiers qui préfèrent enterrer leur fautes et pipoter plutôt que de trouver une solution véritable, de l'autre, il y a des petits gars qui adorent déterrer ce genre de magouilles...
Cette fois c'est Banque Directe et Atos qui sont mis au pilori par Kitetoa. Plusieurs milliers de mot de passe en libre service et, comme d'habitude, il faut hausser le ton pour que les banquiers et les consultants bougent leur popotin.
Ne vous inquietez pas une bonne campagne de pub arrangera le tout! Banque Directe, la Banque où l'on se sert en Direct!
Note du modérateur: Lisez les articles Kitetoa, c'est très fort!
Aller plus loin
- Article Transfert (6 clics)
- Article Kitetoa (11 clics)
- Atos (4 clics)
- Articke Kitetoa sur Banque Direct (à lire!) (5 clics)
# Impressionnant...
Posté par Anonyme . Évalué à 0.
Je pense qu'il serait plus rapide de faire une liste des sites à peu près sécurisés, plutôt que l'inverse...
Dans l'article Kitetoa, ils suggèrent un truc pas con du tout :
" Il n'y aura aucune sécurité pour les serveurs hébergés tant que les clients accepteront de bosser avec des gens qui ne peuvent pas fournir une attestation prouvant qu'ils ont été audité et testé régulièrement par une, ou mieux, plusieurs sociétés de sécurité indépendantes et donc, externes. "
A méditer, et à appliquer...
[^] # Re: Impressionnant...
Posté par Anonyme . Évalué à 0.
[^] # Re: Impressionnant...
Posté par Anonyme . Évalué à 0.
40 NT (et c'est de là que viennent les problèmes)
et 100 linux (80 pour loftStory et 20 en test pour le futur ...)
[^] # Re: Impressionnant...
Posté par vrm (site web personnel) . Évalué à 1.
[^] # Re: Impressionnant...
Posté par Anonyme . Évalué à 0.
netscape enterprise sur les sun et hp
IIS sur les NT
Apache sur les Linux
[^] # Re: Impressionnant...
Posté par Stéf . Évalué à 1.
pour voir ce qu'un serveur utilise comme serveur ouaib, utiliser lynx http://www.tonsite.com(...) et appuyer sur la touche "=", ça envoie une requete GET / /HEAD1.1 et donc retourne le type de serveur utilisé
[^] # Re: Impressionnant...
Posté par Anonyme . Évalué à 0.
tu te connecte sur la machine et tu regarde ...
[^] # Re: Impressionnant...
Posté par Annah C. Hue (site web personnel) . Évalué à 2.
annah@world $ lynx -head -dump http://linuxfr.org(...)
HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Content-Location: http://linuxfr.org/index.html(...)
Date: Tue, 03 Jul 2001 12:47:52 GMT
Content-Type: text/html
Accept-Ranges: bytes
Last-Modified: Thu, 23 Nov 2000 11:29:38 GMT
ETag: "6afd18aa4055c01:23e7b"
Content-Length: 1204
[^] # Re: Impressionnant...
Posté par Bruno Adele (site web personnel) . Évalué à 1.
Et les gars, il nous on fait ca, sans rien nous dire !! ;-)
[^] # Re: Impressionnant...
Posté par William Steve Applegate (site web personnel) . Évalué à 1.
joeblow@darkstar/pts/2(0):~$ telnet linuxfr.org 80
Trying 213.193.17.3...
Connected to zobe.linuxfr.org.
Escape character is '^]'.
HEAD / HTTP/1.0
HTTP/1.1 302 Found
Date: Tue, 03 Jul 2001 14:04:23 GMT
Server: Apache/1.3.9 (Unix) Debian/GNU
Location: http://linuxfr.org/(...)
Connection: close
Content-Type: text/html; charset=iso-8859-1
Connection closed by foreign host.
joeblow@darkstar/pts/2(0):~$
Mais bon, à première vue, ils ont pas installé SuSE partout, donc ça risque quand même de se blo
Envoyé depuis mon PDP 11/70
[^] # Re: Impressionnant...
Posté par Annah C. Hue (site web personnel) . Évalué à 1.
[^] # Re: Impressionnant...
Posté par William Steve Applegate (site web personnel) . Évalué à 1.
Envoyé depuis mon PDP 11/70
[^] # Re: Impressionnant...
Posté par Anonyme . Évalué à 1.
# Et encore on a rien vu !
Posté par Stéf . Évalué à 1.
donc, imaginez ce qu'on peux faire avec d'autres outils, d'autres scanner...
Kitetoa est un très bon site pour montrer que pirater un site et à la portée de n'importe qui !
Ce qui est effrayant c'est que des sociétés comme Atos se la pète encore après tout ça !
imaginez ce qu'on peux faire chez eux...
et donc chez leur client !...
# ouais ouais ouais
Posté par Anonyme . Évalué à 0.
Avant toute chose, je bosse pour la boite incriminée, et je suis un peu enervé du ton 'chez Atos, ils sont tous nazes', je le trouve un peu réducteur. (Je poste en anonyme, parce que je ne veux pas avoir de problèmes en interne).
Ils sont super balèzes pour donner des leçons, mais s'ils
sont si fort que ça, je suis étonné de les voir glander
sur un site en disant "whaou les autres, ils snt mauvais"
au lieu de se faire du blé ou d'oeuvrer pour la bonne marche de l'ensemble.
Je les ai déjà contacté pour une autre histoire, je voulais en savoir plus, mais à part "j'ai eu des contacts avec les responsables, on m'a confirmé, etc...", rien de concret ni de valable, pas de preuve de rien.
Alors oui, banquedirecte a peut être été craqué (certains clients veulent absolumment faire du NT parce que MS leur a bourré le mou),et c'est franchement nazes de notre part si c'est le cas, mais les mecs de kitetoa, je les trouve assez nuls dans la forme, et assez peu crédibles...
Enfin, encore des paranos du 'les grandes boites sont toutes méchantes'. Faudrait peut-être arrêter de regarder XFiles en boucle, et de se bouger un peu le cul et faire avancer les choses, au lieu de se prendre pour les zorro du net.
[^] # Re: ouais ouais ouais
Posté par Anonyme . Évalué à 0.
c'est vrai que c'est dur de trouver des bons admins Nt ... ici il n'y a que des admin Unix ...
vivement le passage sous apache/tomcat ...ça nous changera de Netscape/Jrun ....
[^] # Re: ouais ouais ouais
Posté par Anonyme . Évalué à -1.
reconnu quand meme!
:)
--
[^] # Re: ouais ouais ouais
Posté par zeb . Évalué à 1.
Les gars de Kitetoa, dans 95% des cas, se font rembarrer quand ils previennent les boites, alors pas de lecons sur "ils feraient mieux de se bouger le cul" et les 5% restant, ce sont des menaces de proces (on les traite de pirates) ou exceptionnellement des remerciements (0,01%). Ceux qui doivent "se bouger le cul" comme tu dis ce sont les boites qui foutent les passwords en clair sur leur serveur, voire en libre circulation et qui ne respectent pas la loi (eh oui, la loi informatique et liberte impose la protection des donnees confidentielles).
[^] # Re: ouais ouais ouais
Posté par zeb . Évalué à 1.
[^] # Re: ouais ouais ouais
Posté par Anonyme . Évalué à 0.
Si en plus ils ferment les yeux quand on leur met leur caca sous les yeux et répètent "Non, non, nous on est super aware-secure", ça frise le foutage de gueule.
[^] # Re: ouais ouais ouais
Posté par jpph . Évalué à 1.
http://uptime.netcraft.com/up/graph/?host=www.banquedirecte.fr(...)
[^] # Re: ouais ouais ouais
Posté par Anonyme . Évalué à 1.
[^] # Re: ouais ouais ouais
Posté par vrm (site web personnel) . Évalué à -1.
Atos vous faites de la merde (oui, oui, vu les failles j'apelle ça comme ça) Kitetoa vous le dit, vous explique comment faire, et non , ça vas pas, c'est des salaud qui font pas avancer les choses ...
Super la mentalité ..
Puis s'il te faut plus de détail pour reproduire les bugs , que ceux que laisse Kitétoa, recicle toi ..
Vrm
[^] # Re: ouais ouais ouais
Posté par Anonyme . Évalué à 0.
Si un projet mobilise plusieurs dizaines de personnes, il est très difficile de faire passer un message en interne sur les choix techniques à suivre, ou sur des problématiques de sécurité.
C'est pour ça que des grosses SSII font appel à des petites SSII, plus pointues, sur des sujets spécifiques, en sous-traitance...
Au final, un audit externe reste, bien que très coûteux, une solution *a peu près* fiable comme gage de sûreté.
[^] # Re: ouais ouais ouais
Posté par zeb . Évalué à 1.
[^] # Re: ouais ouais ouais
Posté par Anonyme . Évalué à -1.
[desole]
[^] # Re: ouais ouais ouais
Posté par Anonyme . Évalué à 0.
Je suis l'auteur du commentaire au dessus, et JE N'AI RIEN A VOIR avec une SSII. c'est une constatation externe, qui peut se résumer par :
- les gros projets c'est forcément buggé à mort
- rien ne vaut une petite boite quand on externalise
[^] # Re: ouais ouais ouais
Posté par Anonyme . Évalué à 0.
> mais s'ils sont si fort que ça, je suis étonné
> de les voir glander sur un site en
> disant "whaou les autres, ils snt mauvais"
> au lieu de se faire du blé ou d'oeuvrer pour la
> bonne marche de l'ensemble.
j'ai fait parti d'une boite qui s'est fait prendre en flag par Kitetoa. Ca a raler, yen a pas mal qui ont rigoler et le fautif a corriger.
La faute etait ENAURME, du torchage. C'est pas en ne faisant pas ce genre de boulette qu'on devient le roi du web. On devient quelqu'un de normal.
> Faudrait peut-être arrêter de regarder XFiles
> en boucle, et de se bouger un peu le cul et
> faire avancer les choses, au lieu de se prendre
> pour les zorro du net.
Ca, ca m'enerve, cette critique de la critique. Nia nia, c'est pas positif, nia nia, c'est pas constructif. C'est peut etre positif de torcher le travail?
[^] # Re: ouais ouais ouais
Posté par Zork . Évalué à 1.
Dans ma boite, on a une bonne aproche je trouve, car on a prit le partit de ne pas faire d'hebergement. On sait qu'on a pas les compétences et la main d'oeuvre pour assurer un service de qualite, donc on le fait pas et on prefere laisser cette partie aux boites qui savent tres bien le faire pendant que nous on se concentre sur ce qu'on fait le mieux : les devs.
[^] # Re: ouais ouais ouais
Posté par Anonyme . Évalué à 0.
[^] # Re: ouais ouais ouais
Posté par Stéf . Évalué à 1.
arrêtez de croire qu'à chaque fois que qq'un dénonce une grosse entreprise c'est qu'il à soit rien à foutre de la journée, soit qu'il est attardé mentale de 15 ans boutonneux !
Si kitetoa n'existait pas, qui aurait fait avancer la sécurité dans les entreprises ? les consultants de chez Ernst&young ? arf !
Nan ! c'est clair, pas eux !
beaucoup de site comme kitetoa travail par contre avec de grosses société grâce justement à ce qu'ils ont déjà prouvé : eeyes.com en est l'exemple typique, il bosse aujorud'hui avec/pour microsoft....
[^] # Re: ouais ouais ouais
Posté par William Steve Applegate (site web personnel) . Évalué à 1.
Un conseil, cher « serpent » (c'est lui qui se nomme ainsi dans son article) : si on te fait un reproche (es-tu impliqué dans les cafouillages cités d'ailleurs ?), prends sur toi, corrige, et évite de refaire la même bourde. Et ce n'est pas parce que c'est un journaliste de Transfert - tout juste bon à être manutentionnaire d'après ton magnifique article - qui te fait la leçon à toi, l'informaticien bardé de diplômes, qu'il faut prendre la mouche et se laisser aller à des quérelles dignes d'enfants de 5 ans, c'est ridicule. Et te servir de ton site et de la réputation qu'il a dans le « Web indépendant » (quoi que ce mot veuille dire) pour mener à bien tes attaques est encore plus nul...
PS : je n'ai absolument rien à voir avec Kitetoa, que je n'apprécie d'ailleurs pas toujours (et d'ailleurs, je préfère les sandwichs au saucisson). Si tu penses le contraire, contacte-moi, je te file mes coordonnées (je ne peux pas faire le contraire, vu que tu postes en anonyme)...
Envoyé depuis mon PDP 11/70
[^] # Re: ouais ouais ouais
Posté par Anonyme . Évalué à 0.
Enfin bon souvent les clients décident des serveurs, et s'ils disent NT et IIS, ça sera NT et IIS. On essaye quand même de les convaincre mais ça marche rarement (un decideur ça aime pas avoir tord)
Alors le serveur est installé, et c'est fini, le client refuse de payer pour la maintenance et donc le serveur est livré à lui même.
Et donc plus de mise à jour.
Enfin la il semble que les serveurs soient chez Atos, donc ils ont la maintenance, donc la ils sont en cause et c'est une preuve d'incompetence notable quand même...
[^] # Re: ouais ouais ouais
Posté par Anonyme . Évalué à 0.
on connait unix ... mais NT ...
vivement le tout linux/unix ...
[^] # Re: ouais ouais ouais
Posté par Anonyme . Évalué à 0.
remettrez plutot en cause l'environement!
[^] # Re: ouais ouais ouais
Posté par Anonyme . Évalué à 0.
le pirate avais le mot de passe de la machine ...
surment un ancien ... les mot de passe ne sont changer que tous les 6 mois ... avec le turn hover qu'on se paye en info !!!
[^] # Re: ouais ouais ouais
Posté par Anonyme . Évalué à 1.
[^] # Re: ouais ouais ouais
Posté par Anonyme . Évalué à 0.
comme on connais les scripts de livraison ... une modif de page plus loin ...
# Réponse de Banque Directe
Posté par Anonyme . Évalué à 0.
- un hack vieux de un an
+
- une rumeur de vulnérabilité sans fondement technique,
c'est un peu maigre pour s'exciter.
Donc j'ai envoyé un mail à kitetoa pour en savoir plus. Je pensais que le hack en question était par force brute sur les deux chiffres en raffale, du type :
0001020304050607080910111213141516171819202122232425262728293031323334
3536373839404142434445464748494050515253545565758596061626364656667686
9707172737475767778798081828384858687888990919293949596979899
Ca ne me parait pas très crédible mais bon, c'est comme ça que l'on faisait avec les vieux répondeurs non ;) ?
J'ai aussi contacté la Banque Directe, qui elle m'a renvoyé le mail ci dessous en l'espace de trois heures (pas mal pour des RP) :
Bonjour,
Nous avons bien reçu votre message et nous tenons à vous rassurer quant à la sécurité de nos opérations.
Nous sommes au courant depuis l'origine (juillet 2000) de l'information que vous avez bien voulu nous transmettre.
Sachez que les fichiers "dénichés" sur le serveur d' Atos étaient en réalité des fichiers de traces, concernant un nombre limité de clients - dont vous ne faisiez pas partie - et pour lesquels nous avons pris toutes les mesures de sécurité qui s'imposaient.
Après vérification, et audit de notre serveur vocal, il s'avère que le cas décrit est un cas fonctionnel ancien, très particulier, statistiquement très long à réaliser et impossible à reproduire sur notre nouvelle plate-forme informatique.
La fiabilité des transactions est au coeur de notre activité et nous travaillons constamment à son amélioration.
En vous remerciant de votre confiance.
Cordialement,
Webmaster Banque Directe
[^] # Re: Réponse de Banque Directe
Posté par Anonyme . Évalué à 0.
[^] # Re: Réponse de Banque Directe
Posté par Anonyme . Évalué à -1.
Ce message (et toutes les pièces jointes) contient des informations confidentielles ou appartenant à BANQUE Directe et est établi à l'intention exclusive de son(ses) destinataire(s). Toute divulgation, utilisation, diffusion ou reproduction (totale ou partielle) de ce message, ou des informations qu'il contient, est interdite sauf autorisation explicite du(des) auteur(s)
aïe aïe aïe je vais me faire trainer en justice pas les cheveux ! noooononnnnnn arrêtez !
[^] # C'est marrant
Posté par kadreg . Évalué à -1.
et hop, -1
[^] # Re: C'est marrant
Posté par Annah C. Hue (site web personnel) . Évalué à -1.
Parfois on a 2 lignes d'intéressant et 20 lignes de texte pseudo-juridique.
[^] # Re: C'est marrant
Posté par Ramón Perez (site web personnel) . Évalué à 1.
[^] # Re: C'est marrant
Posté par Amaury . Évalué à 1.
[^] # Re: C'est marrant
Posté par Ramón Perez (site web personnel) . Évalué à 5.
http://slashdot.org/articles/01/05/22/0016201.shtml(...)
En fait c'était the register qui avait lancé le concours.
[^] # Re: C'est marrant
Posté par Yann Kerhervé (site web personnel) . Évalué à 1.
a FWD a tous les décideurs/managers.
NB: le ridicule ne tue pas,...
(qui a rajouter "malheureusement" ?
[^] # Re: Réponse de Banque Directe
Posté par Stéf . Évalué à 1.
ils vont pas te dire "Si, on s'est fait torché tous not password admin de tous nos serveurs, et on sait pas trop quoi faire, Atos non plus"
[^] # Re: Réponse de Banque Directe
Posté par Anonyme . Évalué à 0.
j'ai l'impression que le mec surfait ds ces repertoires dont il est le proprio
et qu'en outre personne d'autre ne peux le faire!
y a qu'a voir les capture d'ecran c xplicite!
c pas un inconnu qui rentre ds les dossier
mais le proprio d'un compte, cela ne prouve rien!
[^] # Re: Réponse de Banque Directe
Posté par Anonyme . Évalué à 0.
[^] # Re: Réponse de Banque Directe
Posté par Stéf . Évalué à 1.
A partir d'un nav web tu peux faire ce que tu veux si en face certains patchs n'ont pas été appliqués !
exemple :
imagine un site comme tf1.fr qui à des pages d'administration à distance pour mettre à jour leurs infos.
imagine ensuite que ce site possède sur ce compte admin un login/passwd par défaut guest/guest que l'admin du site aura oublié de changer...boum !
et ça arrive très souvent.
Bien évidement le coup du login/passwd n'existe plus trop aujourd'hui, mais que dire des bugs unicode ? et il y a encore bien pire !
Donc oui à partir d'un nav. internet on peux faire beaucoup de chose !
et imagine avec une console linux.....hum... :)
[^] # Re: Réponse de Banque Directe
Posté par Anonyme . Évalué à 1.
[^] # Re: Réponse de Banque Directe
Posté par Stéf . Évalué à 1.
par IP lorsqu'elles sont fixe, ...
par login/passwd, par VPN tout con....etc..
mais tout ça ne sert à rien si à la base il se trouve un méchant bug type bufer-overflow, remote shell, et j'en passe sur le serveur.
Tant qu'on aura pas compris que tout les sites sont piratables, que tout les sites du monde qui sont accessibles de l'exterieur sont potentiellement attaquables, bah...ça avancera chi !
et aujourd'hui lorsque vous jettez un coup d'oeil rapide sur la majorité des sites ça fout les ch'tons !
les cordonnier sont souvent les + mal chaussée !
[^] # Re: Réponse de Banque Directe
Posté par Anonyme . Évalué à 0.
justement je m'y connais un peu en serveur
et aux dernieres nouvelles l'acces aux données se fait des des repertoires et ils sont verrouillés
par des droits!
Si c bien fait il n'y a que le root et le proprio du repertoire qui y a acces, c pr cela qu'il me semblait sur les photos d'ecran que l'user voyait son repertoire et c normal!
cela m'aurait semblé moins secure si la personne n'etait pas loggé et anonyme
mais visblement l'user browse ces fichiers!
[^] # Re: Réponse de Banque Directe
Posté par Christophe Boyanique . Évalué à 1.
# Comment on a trouvé les mots de passe [Kitetoa]
Posté par Anonyme . Évalué à 0.
:)
La vie est ailleurs...
Mais revenons à cette histoire. Puisque tout le monde semble se demander quel était le genre de serveur, dOS, comment on a fait, si on était root ou quoi, nous allons donner quelques précisions...
Banque Directe na aucune responsabilité dans cette histoire, si ce nest de ne pas avoir procédé à un grand changement de mots de passe général de ses clients. Elle explique cela par le fait que seul certains clients voyaient leurs connexions être logguées par Atos. C'est en effet possible.
Que se passait-il il y a un an chez Atos ?
Atos avait un serveur Web (Netscape Eterprise Server) qui servait pour traiter, semble-t-il, une activité spécifique des clients Banque Directe. En fait, cela concerne le téléchargement pour traitement en local des données bancaires. Doù le nom ofx du serveur (visible sur une des copies décran dans le dernier papier) pour ceux à qui ce genre de choses parle.
Ce serveur était en accès public et le contenu des répertoires nétait pas protégé par login/password. En dautres termes, si vous tombiez par hasard, comme nous, sur ce serveur, vous finissiez très vite dans un répertoire au nom évocateur (Oldbanquedirecte/log/). Dans ce répertoire, étaient stockés des petits fichiers zip. Dans ces fichiers zip, des fichiers texte. Dans ces fichiers textes, les logins et password des clients en clair.
Outre le fait que les informations étaient stockées en clair sur un serveur Web public, on notera avec intérêt que Atos navait plus de relation commerciale avec Banque directe depuis des mois au moment de notre trouvaille. Je vous laisse méditer sur ce point...
Dautres questions ?
kitetoa@kitetoa.com
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.