Utilisation des CERT pour faire "bouger" les admins de sites vulnerables
Le
Nicob
Salut !
J'ai récemment trouvé une faille de sécurité sur un site qui comporte
entre autres mes données personnelles (grosso modo, je suis membre du
club XYZ) et j'ai tenté de faire colmater la faille en m'appuyant sur
les articles de droit français obligeant les sociétés à la protection
des données personnelles.
Après avoir tenté de contacter en direct la société (via les adresses
issues de la RFC 2142) puis avoir épluché leur press-release pour
trouver des emails directs puis avoir trouvé/contacté la société ayant
créé le site puis ben j'ai laissé tomber.
J'ai contacté le CERT-IST (mail crypté et signé) en leur donnant le
site vulnérable et les conséquences possibles. Ils m'ont rapidement
attribué un numéro de ticket et demandé des détails techniques sur la
faille. Après leur avoir donné un PoC, j'ai eu la douce surprise de
recevoir un mail me disant qu'ils avaient contacté les admins, que ces
derniers avaient corrigé la faille et qu'ils n'attendaient plus qu'une
validation de cet état de fait de ma part pour fermer le ticket.
Ce qui fut fait
Voilà, c'était juste pour donner le fin mot de cette histoire, afin
d'éventuellement encourager d'autres personnes à utiliser ces structures
pour augmenter le niveau de sécurité de sites sans avoir à y perdre
trop de temps.
Tout de même, je me demande si les ressources en temps/hommes des CERTS
français seraient suffisantes si tout le monde remontait *toutes* les
failles trouvées sur des sites français Ca leur ferait carrément
beaucoup de travail, et ça rapellerait, AMHA, la saturation de la boite
mail de la CNIL.
Nicob
J'ai récemment trouvé une faille de sécurité sur un site qui comporte
entre autres mes données personnelles (grosso modo, je suis membre du
club XYZ) et j'ai tenté de faire colmater la faille en m'appuyant sur
les articles de droit français obligeant les sociétés à la protection
des données personnelles.
Après avoir tenté de contacter en direct la société (via les adresses
issues de la RFC 2142) puis avoir épluché leur press-release pour
trouver des emails directs puis avoir trouvé/contacté la société ayant
créé le site puis ben j'ai laissé tomber.
J'ai contacté le CERT-IST (mail crypté et signé) en leur donnant le
site vulnérable et les conséquences possibles. Ils m'ont rapidement
attribué un numéro de ticket et demandé des détails techniques sur la
faille. Après leur avoir donné un PoC, j'ai eu la douce surprise de
recevoir un mail me disant qu'ils avaient contacté les admins, que ces
derniers avaient corrigé la faille et qu'ils n'attendaient plus qu'une
validation de cet état de fait de ma part pour fermer le ticket.
Ce qui fut fait
Voilà, c'était juste pour donner le fin mot de cette histoire, afin
d'éventuellement encourager d'autres personnes à utiliser ces structures
pour augmenter le niveau de sécurité de sites sans avoir à y perdre
trop de temps.
Tout de même, je me demande si les ressources en temps/hommes des CERTS
français seraient suffisantes si tout le monde remontait *toutes* les
failles trouvées sur des sites français Ca leur ferait carrément
beaucoup de travail, et ça rapellerait, AMHA, la saturation de la boite
mail de la CNIL.
Nicob
Poser une question
C'est la situation à un moment donné... Mais souvent, dans les
administrations, l'augmentation du taux d'activité d'un service est le
meilleur argument pour obtenir des moyens supplémentaires (humains et
matériels). Une sorte de "cercle vertueux", en somme
Ewcia
"Ewa (siostra Ani)" 3fb8cd52$0$27048$
malheureusement, c'est plutôt le manque d'activité (et les mauvais résultats
associés) qui sert d'argument pour réclamer des moyens supplémentaires... et
là, c'est un vrai "cercle vicieux" :-(
pour en revenir au sujet (merci à Nicob pour la démonstration), il
semblerait que le recours à une "autorité institutionnelle" soit payant...
sûrement bien plus que la manifestation d'un simple utilisateur (ce qui ne
change strictement rien au risque encouru par le SI concerné)
en clair, les admins se bougent le c.. uniquement si la "requête" émane d'un
service "officiel" (et c'est bien dommage)
@tchao
"simple" consommateur d'un service, qui doit fournir un PoC (tout de meme
![*]) puis valider que la correction a bien été effectuée !!! amha on nage
en pleine 5 dimension la...
[*] pour peu qu'ils t'attaquent pour tentative de compromission...
--
Rico (RicoSpirit) - http://www.ricospirit.net
Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) :
http://www.ricospirit.net/inn/
Ce qui montre donc que ça a changé (j'avais testé il y a un an) et en bien!
Merci pour le retour.
Pour nous donner une idée quels sont les délais que tu as constaté entre les
différentes phases?
Eric, qui en profite donc pour réviser son jugement :)
- 1er contact : 3 Novembre, 17H26
- 1er mail de leur part (attribution du numéro de ticket, demande
d'infos techniques sur la faille) : 4 Novembre, 11H39
- Réponse (PoC) : 4 Novembre, 12h41
- Demande de clôture du ticket : 13 Novembre, 16h49
- Vérif du patch et confirmation de clôture : 17 Novembre, 13h19
Nicob