Le second facteur ne sert à rien si le PC de l'utilisateur est vérolé: le salarié ouvre lui même la porte.
Une solution plus gourmande en ressource consisterait à se connecter à des machines a distances qui elles ont 2 facteur, la machine distante étant toujours sous le contrôle de l'employeur, le salarié ne pourrait pas y faire n'importe quoi.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
Dans tous les cas on ne connait:
- ni les détails de l'attaque (on ne sait même pas si elle était ciblée ou opportuniste).
- ni le reste des mesures qui ont été prises.
J'imagine que chez Free, c'est pas censé être free party une fois qu'on est sur le réseau de l'entreprise et qu'un employé lambda ou du service client n'est pas autorisé ni à même techniquement de dumper toute une base. L'attaque a probablement tiré profit d'un certain nombre de failles au niveau informatique mais aussi au niveau humain et procédural.
Dans mon entreprise les PCs sont configurés pour ne pas lire les périphériques de stockage USB (blacklistage du module usb-storage sur linux, je sais pas comment sur Windows et MacOS) donc la seule façon de se faire véroler son PC c'est par le réseau, donc tout aussi possible depuis le bureau.
Maintenant que j'y pense, il y a aussi la possibilité que quelqu'un subtilise le PC, le démonte, y ajoute un composant matériel malveillant, le remonte, puis le restitue au salarié sans qu'il en ait connaissance. J'ignore la probabilité de ce scénario.
c'est par le réseau, donc tout aussi possible depuis le bureau.
Au bureau j'ai un proxy filtrant, chose que je n'ai pas à la maison, et le PC fournit par la boite permet de se connecter a internet hors VPN.
J'évite aussi d'utiliser le PC à la maison pour des trucs perso, mais j'ai un collègue qui y'a installé steam, et ça remplace son PC perso.
Je ne dis pas qu'il n'y a pas de solutions, juste que c'est un poil plus compliqué qu'une authentification à 2 facteurs si on prends le VPN comme solution.
Maintenant que j'y pense, il y a aussi la possibilité que quelqu'un subtilise le PC, le démonte, y ajoute un composant matériel malveillant, le remonte, puis le restitue au salarié sans qu'il en ait connaissance. J'ignore la probabilité de ce scénario.
Peu probable pour piquer des données personnelles; pour de l'espionnage, très probable, ensuite est-ce que Free pourrait en être la cible, aucune idée.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
Alors là…. Je ne sais pas dans quelle boîte tu bosses, mais ça fait pas envie niveau sécurité.
Le PC lui même est sous Linux, avec antivirus qui fait ramer la machine; la machine est chiffrée à un certificat, et il faut en plus un token RSA pour entrer dans le VPN.
Par défaut on a accès qu'à un niveau faible sécurité (n'importe quel presta y a accès), pour aller au delà faut un 2eme token RSA (pour se connecter sur des VMs), avec un autre mot de passe. Pour utiliser une application interne faut être déclaré comme utilisateur de cette application… Bref c'est loin d'être idéal en terme de sécurité, mais c'est déjà mieux que dans pas mal d'endroit.
J'ajouterai que permettre de bosser lorsque le VPN est KO c'est plutôt pas mal; si tu passes en chômage technique parce que le réseau est KO
Ensuite la machine permet de se connecter à une base USB-C, un micro (USB) (car le micro du pc fait un bruit de ventilo), clavier… y'a sans doute moyen de sécuriser un peu plus le truc, mais à un moment faut laisser les gens bosser avec la sécurité et pas contre la sécurité.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
C'est surtout le fait qu'une fois ta machine sur le VPN elle continue à avoir accès direct à l'Internet. Ça veut dire qu'elle peut servir de relai pour un flux réseau qui ne passe pas par le firewall… non.
Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN
alors normalement, une fois la connexion VPN établie tout passe par lui (les routes par défaut sont vers le VPN), pour les connexions déjà établies j'ai comme un doute, mais pour le reste toutes nouvelle connexion sont vers le VPN.
Ensuite si l'ordinateur est infecté, il peut très bien avoir une route passant en directe, mais on rentre dans des trucs plutôt évolué et bien compliqué. De mon point de vue le plus gros trou de sécurité est le recours à la prestation de service, avec des presta qui viennent sur site, et qui ont accès au réseau.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
Ça, ça dépend de la configuration de ta gateway VPN.
Tu peux la configurer pour envoyer une route par défaut ; mais tu peux aussi lui faire envoyer des routes statiques.
J'ai bossé dans des sociétés (banque ou télécom - un concurrent de Free d'ailleurs) qui fournissait un PC qui ne permettait qu'une seule chose lorsqu'il était connecté hors réseau de l'entreprise : établir une conextion VPN avec 2FA. Dans l'une des sociétés, il fallait insérer le badge d'entrée à un lecteur de carte sur le PC pour établir la connexion VPN, et dans l'autre il y avait un 2FA avec téléphone. Le VPN n'acceptait pas les connexions issues d'autre matériel que celui autorisé à se connecter.
Alors oui ça coute, mais au final ça coute moins cher que de se faire trouer et de perdre les données des clients.
A l'inverse j'ai travaillé il n'y a pas si longtemps dans une boite qui ne fournissait pas de PC pour les prestataires (les prestataires venaient avec un PC que leur société leur fournissait, ou utilisaient même leur PC perso - le principe du BYOD en Anglais ou AVEC en Français). Certes il y a du 2FA, mai ça ne suffit pas : les gens peuvent récupérer sur leur poste des données qui peuvent être sensibles et celles-ci peuvent ainsi fuiter vers l'extérieur …
Mais - c'est une vraie question que je pose - pourquoi revenir sur le télétravail ? Je veux dire, quel intérêt pour l'employeur ?
C'est possible que ce soit juste par désir de contrôle, mais c'est peu probable si les résultats sont là en terme de travail accompli, c'est à dire qualité et quantité maintenus.
Sur certains métiers c'est vraiment compliqué et contraignant de sécuriser l'environnement de télétravail. Tout le monde n'a pas une pièce dédiée chez soi, pour commencer.
# Prétexte en bois
Posté par flagos . Évalué à 10 (+11/-2).
Au lieu d'aller mettre un second facteur sur la connection VPN, on sort ça comme excuse toute pourrie pour revenir sur le télétravail.
[^] # Re: Prétexte en bois
Posté par fearan . Évalué à 8 (+5/-0).
Le second facteur ne sert à rien si le PC de l'utilisateur est vérolé: le salarié ouvre lui même la porte.
Une solution plus gourmande en ressource consisterait à se connecter à des machines a distances qui elles ont 2 facteur, la machine distante étant toujours sous le contrôle de l'employeur, le salarié ne pourrait pas y faire n'importe quoi.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Prétexte en bois
Posté par Psychofox (Mastodon) . Évalué à 6 (+4/-1).
Dans tous les cas on ne connait:
- ni les détails de l'attaque (on ne sait même pas si elle était ciblée ou opportuniste).
- ni le reste des mesures qui ont été prises.
J'imagine que chez Free, c'est pas censé être free party une fois qu'on est sur le réseau de l'entreprise et qu'un employé lambda ou du service client n'est pas autorisé ni à même techniquement de dumper toute une base. L'attaque a probablement tiré profit d'un certain nombre de failles au niveau informatique mais aussi au niveau humain et procédural.
[^] # Re: Prétexte en bois
Posté par devnewton 🍺 (site web personnel) . Évalué à 10 (+9/-1).
C'est con pour un FAI de ne pas savoir sécuriser son réseau.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Prétexte en bois
Posté par raspbeguy (site web personnel, Mastodon) . Évalué à 5 (+4/-0).
Dans mon entreprise les PCs sont configurés pour ne pas lire les périphériques de stockage USB (blacklistage du module usb-storage sur linux, je sais pas comment sur Windows et MacOS) donc la seule façon de se faire véroler son PC c'est par le réseau, donc tout aussi possible depuis le bureau.
Maintenant que j'y pense, il y a aussi la possibilité que quelqu'un subtilise le PC, le démonte, y ajoute un composant matériel malveillant, le remonte, puis le restitue au salarié sans qu'il en ait connaissance. J'ignore la probabilité de ce scénario.
Un gentil du net
[^] # Re: Prétexte en bois
Posté par fearan . Évalué à 3 (+0/-0).
Au bureau j'ai un proxy filtrant, chose que je n'ai pas à la maison, et le PC fournit par la boite permet de se connecter a internet hors VPN.
J'évite aussi d'utiliser le PC à la maison pour des trucs perso, mais j'ai un collègue qui y'a installé steam, et ça remplace son PC perso.
Je ne dis pas qu'il n'y a pas de solutions, juste que c'est un poil plus compliqué qu'une authentification à 2 facteurs si on prends le VPN comme solution.
Peu probable pour piquer des données personnelles; pour de l'espionnage, très probable, ensuite est-ce que Free pourrait en être la cible, aucune idée.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Prétexte en bois
Posté par 42nodid . Évalué à -2 (+0/-3).
Alors là…. Je ne sais pas dans quelle boîte tu bosses, mais ça fait pas envie niveau sécurité.
[^] # Re: Prétexte en bois
Posté par fearan . Évalué à 5 (+2/-0).
Le PC lui même est sous Linux, avec antivirus qui fait ramer la machine; la machine est chiffrée à un certificat, et il faut en plus un token RSA pour entrer dans le VPN.
Par défaut on a accès qu'à un niveau faible sécurité (n'importe quel presta y a accès), pour aller au delà faut un 2eme token RSA (pour se connecter sur des VMs), avec un autre mot de passe. Pour utiliser une application interne faut être déclaré comme utilisateur de cette application… Bref c'est loin d'être idéal en terme de sécurité, mais c'est déjà mieux que dans pas mal d'endroit.
J'ajouterai que permettre de bosser lorsque le VPN est KO c'est plutôt pas mal; si tu passes en chômage technique parce que le réseau est KO
Ensuite la machine permet de se connecter à une base USB-C, un micro (USB) (car le micro du pc fait un bruit de ventilo), clavier… y'a sans doute moyen de sécuriser un peu plus le truc, mais à un moment faut laisser les gens bosser avec la sécurité et pas contre la sécurité.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Prétexte en bois
Posté par lolop (site web personnel) . Évalué à 2 (+0/-0).
C'est surtout le fait qu'une fois ta machine sur le VPN elle continue à avoir accès direct à l'Internet. Ça veut dire qu'elle peut servir de relai pour un flux réseau qui ne passe pas par le firewall… non.
Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN
[^] # Re: Prétexte en bois
Posté par fearan . Évalué à 3 (+0/-0).
alors normalement, une fois la connexion VPN établie tout passe par lui (les routes par défaut sont vers le VPN), pour les connexions déjà établies j'ai comme un doute, mais pour le reste toutes nouvelle connexion sont vers le VPN.
Ensuite si l'ordinateur est infecté, il peut très bien avoir une route passant en directe, mais on rentre dans des trucs plutôt évolué et bien compliqué. De mon point de vue le plus gros trou de sécurité est le recours à la prestation de service, avec des presta qui viennent sur site, et qui ont accès au réseau.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Prétexte en bois
Posté par Ambroise . Évalué à 3 (+2/-0).
Ça, ça dépend de la configuration de ta gateway VPN.
Tu peux la configurer pour envoyer une route par défaut ; mais tu peux aussi lui faire envoyer des routes statiques.
[^] # Re: Prétexte en bois
Posté par totof2000 . Évalué à 5 (+3/-0).
J'ai bossé dans des sociétés (banque ou télécom - un concurrent de Free d'ailleurs) qui fournissait un PC qui ne permettait qu'une seule chose lorsqu'il était connecté hors réseau de l'entreprise : établir une conextion VPN avec 2FA. Dans l'une des sociétés, il fallait insérer le badge d'entrée à un lecteur de carte sur le PC pour établir la connexion VPN, et dans l'autre il y avait un 2FA avec téléphone. Le VPN n'acceptait pas les connexions issues d'autre matériel que celui autorisé à se connecter.
Alors oui ça coute, mais au final ça coute moins cher que de se faire trouer et de perdre les données des clients.
A l'inverse j'ai travaillé il n'y a pas si longtemps dans une boite qui ne fournissait pas de PC pour les prestataires (les prestataires venaient avec un PC que leur société leur fournissait, ou utilisaient même leur PC perso - le principe du BYOD en Anglais ou AVEC en Français). Certes il y a du 2FA, mai ça ne suffit pas : les gens peuvent récupérer sur leur poste des données qui peuvent être sensibles et celles-ci peuvent ainsi fuiter vers l'extérieur …
[^] # Re: Prétexte en bois
Posté par cg . Évalué à 3 (+1/-0).
Peut-être est-ce le cas.
Mais - c'est une vraie question que je pose - pourquoi revenir sur le télétravail ? Je veux dire, quel intérêt pour l'employeur ?
C'est possible que ce soit juste par désir de contrôle, mais c'est peu probable si les résultats sont là en terme de travail accompli, c'est à dire qualité et quantité maintenus.
Sur certains métiers c'est vraiment compliqué et contraignant de sécuriser l'environnement de télétravail. Tout le monde n'a pas une pièce dédiée chez soi, pour commencer.
# quelle super idée
Posté par bistouille . Évalué à 3 (+8/-7).
Comme ça les gens compétents éviteront d'aller bosser chez free.
C'est pas plus mal finalement.
[^] # Re: quelle super idée
Posté par Tanouky . Évalué à -9 (+0/-10). Dernière modification le 13 décembre 2024 à 13:04.
Les gens compétents ne bossent pas en télétravail ; ou alors, ils le font d'Inde.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.