• # Prétexte en bois

    Posté par  . Évalué à 10 (+11/-2).

    Au lieu d'aller mettre un second facteur sur la connection VPN, on sort ça comme excuse toute pourrie pour revenir sur le télétravail.

    • [^] # Re: Prétexte en bois

      Posté par  . Évalué à 8 (+5/-0).

      Le second facteur ne sert à rien si le PC de l'utilisateur est vérolé: le salarié ouvre lui même la porte.

      Une solution plus gourmande en ressource consisterait à se connecter à des machines a distances qui elles ont 2 facteur, la machine distante étant toujours sous le contrôle de l'employeur, le salarié ne pourrait pas y faire n'importe quoi.

      Il ne faut pas décorner les boeufs avant d'avoir semé le vent

      • [^] # Re: Prétexte en bois

        Posté par  (Mastodon) . Évalué à 6 (+4/-1).

        Dans tous les cas on ne connait:
        - ni les détails de l'attaque (on ne sait même pas si elle était ciblée ou opportuniste).
        - ni le reste des mesures qui ont été prises.

        J'imagine que chez Free, c'est pas censé être free party une fois qu'on est sur le réseau de l'entreprise et qu'un employé lambda ou du service client n'est pas autorisé ni à même techniquement de dumper toute une base. L'attaque a probablement tiré profit d'un certain nombre de failles au niveau informatique mais aussi au niveau humain et procédural.

      • [^] # Re: Prétexte en bois

        Posté par  (site web personnel, Mastodon) . Évalué à 5 (+4/-0).

        Dans mon entreprise les PCs sont configurés pour ne pas lire les périphériques de stockage USB (blacklistage du module usb-storage sur linux, je sais pas comment sur Windows et MacOS) donc la seule façon de se faire véroler son PC c'est par le réseau, donc tout aussi possible depuis le bureau.

        Maintenant que j'y pense, il y a aussi la possibilité que quelqu'un subtilise le PC, le démonte, y ajoute un composant matériel malveillant, le remonte, puis le restitue au salarié sans qu'il en ait connaissance. J'ignore la probabilité de ce scénario.

        Un gentil du net

        • [^] # Re: Prétexte en bois

          Posté par  . Évalué à 3 (+0/-0).

          c'est par le réseau, donc tout aussi possible depuis le bureau.

          Au bureau j'ai un proxy filtrant, chose que je n'ai pas à la maison, et le PC fournit par la boite permet de se connecter a internet hors VPN.

          J'évite aussi d'utiliser le PC à la maison pour des trucs perso, mais j'ai un collègue qui y'a installé steam, et ça remplace son PC perso.

          Je ne dis pas qu'il n'y a pas de solutions, juste que c'est un poil plus compliqué qu'une authentification à 2 facteurs si on prends le VPN comme solution.

          Maintenant que j'y pense, il y a aussi la possibilité que quelqu'un subtilise le PC, le démonte, y ajoute un composant matériel malveillant, le remonte, puis le restitue au salarié sans qu'il en ait connaissance. J'ignore la probabilité de ce scénario.

          Peu probable pour piquer des données personnelles; pour de l'espionnage, très probable, ensuite est-ce que Free pourrait en être la cible, aucune idée.

          Il ne faut pas décorner les boeufs avant d'avoir semé le vent

          • [^] # Re: Prétexte en bois

            Posté par  . Évalué à -2 (+0/-3).

            Au bureau j'ai un proxy filtrant, chose que je n'ai pas à la maison, et le PC fournit par la boite permet de se connecter a internet hors VPN.

            Alors là…. Je ne sais pas dans quelle boîte tu bosses, mais ça fait pas envie niveau sécurité.

            • [^] # Re: Prétexte en bois

              Posté par  . Évalué à 5 (+2/-0).

              Alors là…. Je ne sais pas dans quelle boîte tu bosses, mais ça fait pas envie niveau sécurité.

              Le PC lui même est sous Linux, avec antivirus qui fait ramer la machine; la machine est chiffrée à un certificat, et il faut en plus un token RSA pour entrer dans le VPN.

              Par défaut on a accès qu'à un niveau faible sécurité (n'importe quel presta y a accès), pour aller au delà faut un 2eme token RSA (pour se connecter sur des VMs), avec un autre mot de passe. Pour utiliser une application interne faut être déclaré comme utilisateur de cette application… Bref c'est loin d'être idéal en terme de sécurité, mais c'est déjà mieux que dans pas mal d'endroit.

              J'ajouterai que permettre de bosser lorsque le VPN est KO c'est plutôt pas mal; si tu passes en chômage technique parce que le réseau est KO

              Ensuite la machine permet de se connecter à une base USB-C, un micro (USB) (car le micro du pc fait un bruit de ventilo), clavier… y'a sans doute moyen de sécuriser un peu plus le truc, mais à un moment faut laisser les gens bosser avec la sécurité et pas contre la sécurité.

              Il ne faut pas décorner les boeufs avant d'avoir semé le vent

              • [^] # Re: Prétexte en bois

                Posté par  (site web personnel) . Évalué à 2 (+0/-0).

                C'est surtout le fait qu'une fois ta machine sur le VPN elle continue à avoir accès direct à l'Internet. Ça veut dire qu'elle peut servir de relai pour un flux réseau qui ne passe pas par le firewall… non.

                Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN

                • [^] # Re: Prétexte en bois

                  Posté par  . Évalué à 3 (+0/-0).

                  alors normalement, une fois la connexion VPN établie tout passe par lui (les routes par défaut sont vers le VPN), pour les connexions déjà établies j'ai comme un doute, mais pour le reste toutes nouvelle connexion sont vers le VPN.

                  Ensuite si l'ordinateur est infecté, il peut très bien avoir une route passant en directe, mais on rentre dans des trucs plutôt évolué et bien compliqué. De mon point de vue le plus gros trou de sécurité est le recours à la prestation de service, avec des presta qui viennent sur site, et qui ont accès au réseau.

                  Il ne faut pas décorner les boeufs avant d'avoir semé le vent

                  • [^] # Re: Prétexte en bois

                    Posté par  . Évalué à 3 (+2/-0).

                    Ça, ça dépend de la configuration de ta gateway VPN.
                    Tu peux la configurer pour envoyer une route par défaut ; mais tu peux aussi lui faire envoyer des routes statiques.

        • [^] # Re: Prétexte en bois

          Posté par  . Évalué à 5 (+3/-0).

          J'ai bossé dans des sociétés (banque ou télécom - un concurrent de Free d'ailleurs) qui fournissait un PC qui ne permettait qu'une seule chose lorsqu'il était connecté hors réseau de l'entreprise : établir une conextion VPN avec 2FA. Dans l'une des sociétés, il fallait insérer le badge d'entrée à un lecteur de carte sur le PC pour établir la connexion VPN, et dans l'autre il y avait un 2FA avec téléphone. Le VPN n'acceptait pas les connexions issues d'autre matériel que celui autorisé à se connecter.

          Alors oui ça coute, mais au final ça coute moins cher que de se faire trouer et de perdre les données des clients.

          A l'inverse j'ai travaillé il n'y a pas si longtemps dans une boite qui ne fournissait pas de PC pour les prestataires (les prestataires venaient avec un PC que leur société leur fournissait, ou utilisaient même leur PC perso - le principe du BYOD en Anglais ou AVEC en Français). Certes il y a du 2FA, mai ça ne suffit pas : les gens peuvent récupérer sur leur poste des données qui peuvent être sensibles et celles-ci peuvent ainsi fuiter vers l'extérieur …

    • [^] # Re: Prétexte en bois

      Posté par  . Évalué à 3 (+1/-0).

      Peut-être est-ce le cas.

      Mais - c'est une vraie question que je pose - pourquoi revenir sur le télétravail ? Je veux dire, quel intérêt pour l'employeur ?

      C'est possible que ce soit juste par désir de contrôle, mais c'est peu probable si les résultats sont là en terme de travail accompli, c'est à dire qualité et quantité maintenus.

      Sur certains métiers c'est vraiment compliqué et contraignant de sécuriser l'environnement de télétravail. Tout le monde n'a pas une pièce dédiée chez soi, pour commencer.

  • # quelle super idée

    Posté par  . Évalué à 3 (+8/-7).

    Comme ça les gens compétents éviteront d'aller bosser chez free.
    C'est pas plus mal finalement.

    • [^] # Re: quelle super idée

      Posté par  . Évalué à -9 (+0/-10). Dernière modification le 13 décembre 2024 à 13:04.

      Les gens compétents ne bossent pas en télétravail ; ou alors, ils le font d'Inde.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.