money.jpg

Alors c’est comme ça que l’argent de la France est « sécurisé » ? Avec un mot de passe « 123456 » sur un serveur sensible de la Banque de France ?

Merde ! Même à l’école primaire on dit aux jeunes d’utiliser des mots de passes compliqués, comme Az56#gh9* !

Mais ils les recrutent où les types qui bossent au service informatique ? Entre ceci, et celà : à propos du support technique d’Orange

Y’a un défaut de sécurisation flagrant là quand même. Et ils demandent aux abonnés de faire attention à leurs connexion Internet, les donneurs de leçons ?
C’est une blague ou quoi ?

Faudrait peut-être prendre la sécurité informatique un peu au sérieux, non ? À commencer par les points les plus critiques…

image de Joriel

24 commentaires

gravatar
qwerty a dit :

PEBKAC en cascade... Il y a l'informatique et l'informatique pour le grand public. Ce dernier est en décadence complet.

gravatar
TD a dit :

Pire qu'un mauvais mot de passe : d'après ce que j'ai lu, le serveur était accessible par téléphone. Comment peut-on penser une seule seconde à rendre accessible sur un réseau public un serveur sensible ?

gravatar
tcit a dit :

Un rapport avec mon souci sur Blogotext (hum hum) ?

La question est : qui sont les gens qui choisissent ces mots de passe si simple ? Ça ne peut pas être des gens qui ont quelques notions d'informatiques, ça peut pas non plus être des responsables.

gravatar
Le Hollandais Volant a dit :

@tcit : oh non, je suis bien content que Blogotext avertisse en cas de mot de passe simple (il lui faut >6 caractères dont minuscules ET majuscules ET chiffres ET caractère spécial pour ne pas lever d’alerte).

@qwerty : PEBKAC, oui, exactement. ( http://www.pebkac.fr/ )

gravatar
Pseudo a dit :

Mais je ne comprends pas trop... Il a accédé à un serveur sensible par... Skype?!
Bon du coup si le code se rentrait via un clavier de téléphone, il ne peut pas y avoir de lettres ou de caractères spéciaux. Mais il manquerait pu qu'on dise à celui au téléphone de rentrer 6 chiffres et c'est le pompon. On n'a plus qu'à foutre les numéros sensibles dans l'annuaire je crois.

gravatar
Sbgodin a dit :

En fait, selon l'analyse de PC Inpact c'est la simple connexion avec un mot de passe erroné qui a déclenché l'alerte. N'importe quel mot de passe aurait suffi.

Bonne idée de piège :-) Fourger un tel numéro de téléphone à une innocente victime.

gravatar
Pascal a dit :

Au même niveau selon moi que les mots de passe "simples", l'enregistrement +/- automatique en clair des mots de passe dans le navigateur, ou dans le système d'exploitation de l'utilisateur. L'ordinateur se fait voler, les mots de passes le sont aussi. Dans Firefox, il y a bien le mot de passe de protection générale mais je trouve qu'à l'usage, il se révèle difficile d'utilisation (du moins sur un poste Windows).

Sinon pour protéger, l'ensemble de mes mots de passe stockés dans un fichier de votre disque dur, j'utilise le logiciel AXCRYPT (chiffrage AES-128). Cela évite d'avoir un fichier de mots de passe en clair sur son disque dur. AXCRYPT me demande un mot de passe à l'ouverture de la session et je suis tranquille pour la journée.

Pensez-aussi à sauvegarder ce fichier régulièrement - perso, j'utilise ma messagerie pour cela, je m'envoie régulièrement une version chiffrée sur mon mail

gravatar
Julien et Nel a dit :

Sur les livebox, le mot de passe et login pour tous le monde sont : "admin".

Quand on voit ça déjà, on s'étonne pas du reste ...

Orange se permet aussi des fois de remettre par défaut les livebox .

gravatar
metal slug a dit :

Bon, à la fin de l'article ils disent que la Banque de France a renforcé la sécurité, maintenant le code c'est 1234567 :D

gravatar
Jouanet a dit :

Il y a un truc que je ne comprendrai jamais : les quatre chiffres de sécurité sur les cartes bancaires. Franchement moi j'aurais mis au minimum 7 ou 8, et encore ce n'est que des chiffres !!!

gravatar
Julien et Nel a dit :

@Guenhwyvar :

J'avais indiqué la liste à Timo, quand j'avais vu mon cms dedans. Aprés Timo m'avait indiqué l'être aussi ... Visiblement tous les trucs non SQL sont des motifs de suspension pour Free.

gravatar
Guenhwyvar a dit :

@Julien et Nel :
D'un côté, ça se comprend, la lecture et l'écriture de fichiers texte, on peut pas dire que ce soit les points forts de PHP… Et pour peu que le blog ait une taille ou un trafic modeste et qu'y ait pas de système de cache, ça devient vite très gourmand en ressources…
Du coup, ils préfèrent apparemment supprimer le principe entier plutôt que voir au cas par cas, c'est dommage, mais pas surprenant…

gravatar
jzkhaz a dit :

Je confirme chez orange et pas sosh on m'avais demandé mon mot de passe j'ai pêté un cable ma femme m'a dit que c'était normal pour qu'ils puissent aller sur la gestion de compte blackberry.

Et elle m'a même dit que j'était le premier a refusé !!

gravatar
Belgarel a dit :

L'article a été mis à jour. Apparemment, la Banque de France n'est pas directement impliquée (enfin...déléguer, c'est pas se décharger, en termes de responsabilité, mais passons) et il ne s'agissait que d'un centre d'appel.

C'est tout de même marrant de voir que Skype n'hésite pas à vous vendre.

gravatar
Le Hollandais Volant a dit :

@Guenhwyvar : bah ça me poussera à intégrer MySQL dans Blogotext :P
Ceci dit, si SQLite n'a pas la vitesse de MySQL, ce n'est quand même pas un bouffeur de ressources pour autant… Ils sont quand même assez gonflé chez Free.

gravatar
de passage a dit :


"La question est : qui sont les gens qui choisissent ces mots de passe si simple ? Ça ne peut pas être des gens qui ont quelques notions d'informatiques, ça peut pas non plus être des responsables."


Il y a plusieurs semaines j'ai du faire réinitialiser par mon fai (SXX) le mot de passe de mon compte.

Pendant que je réfléchissais pour en créer un suffisamment facile à retenir (pour moi), le technicien m'a proposé de mettre "123456". Non, non merci, sans façon !

Et il a dit à propos de celui je venais de lui dicter : "Si pour vous, ce passe n'est pas compliqué, qu'est-ce que vous appellé compliqué !".

Mon nouveau mot de passe n'a pas de caractères spéciaux, ni de suite de lettres et chiffres mélangés, est prononçable ... mais n'est pas un mot du dico et comprend des chiffres.

gravatar
Diogenes a dit :

un internaute relaxé après avoir piraté la Banque de France "par accident", un mot de passe "123456" mais c'est trop con pour être vrai .

gravatar
erf a dit :

Tu as déjà bossé dans un service informatique ? Parce que tous les jours, tu as des gens qui ont oublié leur mot de passe ou alors le document indispensable ( une vidéo lolcat) est dans la session du collègue qui est absent.

Du coup, on est obligé de mettre des mots de passe simples et/ou mettre une étiquette sur les écrans avec le mot de passe inscrit dessus.
Dans le pire des cas, on saute le mdp via l'annuaire.
Par contre si quelqu'un a oublié son nom de compte, c'est... difficile de trouver une solution !

Plutot que de troller encore sur les mots de passe pas compliquer, on pourrai proposer de mettre en oeuvre un système de clef pour une authentification aux différents services. Comme par exemple, un périphérique que l'on entre sur l'ordinateur et nous ouvre la page web sur notre compte automatiquement. Ca existe déjà pour ouvrir les lVM crypt luks: sur une clef USB il y a un fichier qui fais office de mot de passe pour démarrer l'ordinateur. Je vulgarise sur le fonctionnement.


Un peu comme des clefs de voiture pour ouvrir un compte sur le web. Problème, il ne faut pas les perdre.

Je pense qu'avec ce système, on peut dire au revoir aux mots de passe faibles.

A réfléchir.

Pour le coup de la blacklist de free, c'est vraiment maladroit de choisir à notre place le moteur de blog et/ou cms que l'on doit utiliser parce que celui-ci utilise mysql et pas l'autre. :s

gravatar
Le Hollandais Volant a dit :

@erf : non j’ai jamais bossé dans un service informatique, mais je conseil toujours d’avoir une sorte de backdoor personnelle (cf ceci par exemple). Que ce soit une faille ou une disquette au fond d’un placard contenant le mot de passe.

Le système des clés, ça existe déjà. Il y a des moyens pour faire ça, soit des logiciels soit autre autre chose. Suffit de voir si ça existe pour un serveur gérant des milliers de comptes.

Mais là on parle d’un serveur important, pas géré par des kikoulol donc…
Je me souviens : sur le réseau de mon ancien lycée, le login/mdp de tous les élèves/profs/personnels était disponible en clair sur le réseau. Bien caché au fin-fond des dossiers mais accessible par hasard par exemple.
Faire ce genre de "négligence" c’est pas du professionnalisme je trouve.

Les commentaires sont fermés pour cet article