Un simple pdf en pièce jointe dans un email prévu pour, a permis de
"pirater" via un faille inconnue jusqu'à lors, les comptes d'environ 150
gugus du ministères des finances.
Et tout ça ne change *rien* à ce que j'ai dit : le danger ce sont les IO (plus spécifiquement les O) vers autre chose que le papier...
Il doit être possible de modifier la config IP d'une imprimante pour qu'elle ait accès à l'extérieur et donc s'en servir pour pas mal de choses comme de recevoir un fichier PS de tout ce qui est imprimé et, de ce fait, récupérer des infos qui ne devraient pas sortir de l'entreprise. L'avantage des imprimantes est qu'il y a des tonnes de modèles avec des OS plus ou moins différents.
Si tu savais... Bon, pour votre culture, je vous raconte une petite histoire perso qui date d'environ 5-6 ans :
On m'avait dit de venir "installer le reseau" d'une agence de la boîte où je travaillais. Donc j'arrive un matin sur place, je branche le matos, je configure et paf, je tombe sur le copieur/scanner/imprimante(PS) de l'agence à configurer. Je téléphone à l'acheteur pour savoir ce que je devais faire du mastodonte multifonction qui avait été livré sur place. Celui-ci me dit qu'il est en location chez la société X et qu'un technicien de cette société doit passer pour le "brancher". Comme les collègues sur place en avaient besoin (seule imprimante A4/A3 sur place), je décide de configurer le bousin avant de partir.
Ben, moins d'une demi heure après (en lisant la doc papier) j'avais accès au disque dur de cette multifonction de marque C***n et aux copies d'environ quelques dizaines de A4 de la société précédente qui l'avait loué à la société X. Cool, hein ? :-)
Alors, je veux bien que chez certaines boîtes on détruise les disques durs à coup de marteaux lorsque qu'ils sortent du parc, mais pour les copieurs multifonctions loués, c'est moins sûr ! :-)
Cette modif de config peut très bien passer par une faille de sécurité via un mot de passe admin vite cassé, par un buffer overflow...
C'est mieux que ça : Tu crackes la grosse copieuse/multifonction de la "haute" direction de bercy et tu as le droit à "la totale" question photocopies et impressions, le tout avec une interface ethernet à disposition pour la reprogrammer comme tu veux. Le rêve quoi ? ;-)
Et ne pas oublier que des imprimantes utilisent le pop et le smtp ;)
Par exemple.
X.
Le 13/03/2011 14:09, Benoit a écrit :
Erwan David <erwan@rail.eu.org> wrote:
Et tout ça ne change *rien* à ce que j'ai dit : le danger ce sont les IO
(plus spécifiquement les O) vers autre chose que le papier...
Il doit être possible de modifier la config IP d'une imprimante pour
qu'elle ait accès à l'extérieur et donc s'en servir pour pas mal de
choses comme de recevoir un fichier PS de tout ce qui est imprimé et, de
ce fait, récupérer des infos qui ne devraient pas sortir de
l'entreprise. L'avantage des imprimantes est qu'il y a des tonnes de
modèles avec des OS plus ou moins différents.
Si tu savais... Bon, pour votre culture, je vous raconte une petite
histoire perso qui date d'environ 5-6 ans :
On m'avait dit de venir "installer le reseau" d'une agence de la boîte
où je travaillais. Donc j'arrive un matin sur place, je branche le
matos, je configure et paf, je tombe sur le
copieur/scanner/imprimante(PS) de l'agence à configurer. Je téléphone à
l'acheteur pour savoir ce que je devais faire du mastodonte
multifonction qui avait été livré sur place. Celui-ci me dit qu'il est
en location chez la société X et qu'un technicien de cette société doit
passer pour le "brancher". Comme les collègues sur place en avaient
besoin (seule imprimante A4/A3 sur place), je décide de configurer le
bousin avant de partir.
Ben, moins d'une demi heure après (en lisant la doc papier) j'avais
accès au disque dur de cette multifonction de marque C***n et aux copies
d'environ quelques dizaines de A4 de la société précédente qui l'avait
loué à la société X. Cool, hein ? :-)
Alors, je veux bien que chez certaines boîtes on détruise les disques
durs à coup de marteaux lorsque qu'ils sortent du parc, mais pour les
copieurs multifonctions loués, c'est moins sûr ! :-)
Cette modif de config peut très bien passer par une faille de
sécurité via un mot de passe admin vite cassé, par un buffer overflow...
C'est mieux que ça : Tu crackes la grosse copieuse/multifonction de la
"haute" direction de bercy et tu as le droit à "la totale" question
photocopies et impressions, le tout avec une interface ethernet à
disposition pour la reprogrammer comme tu veux. Le rêve quoi ? ;-)
Et ne pas oublier que des imprimantes utilisent le pop et le smtp ;)
Et tout ça ne change *rien* à ce que j'ai dit : le danger ce sont les IO (plus spécifiquement les O) vers autre chose que le papier...
Il doit être possible de modifier la config IP d'une imprimante pour qu'elle ait accès à l'extérieur et donc s'en servir pour pas mal de choses comme de recevoir un fichier PS de tout ce qui est imprimé et, de ce fait, récupérer des infos qui ne devraient pas sortir de l'entreprise. L'avantage des imprimantes est qu'il y a des tonnes de modèles avec des OS plus ou moins différents.
Si tu savais... Bon, pour votre culture, je vous raconte une petite histoire perso qui date d'environ 5-6 ans :
On m'avait dit de venir "installer le reseau" d'une agence de la boîte où je travaillais. Donc j'arrive un matin sur place, je branche le matos, je configure et paf, je tombe sur le copieur/scanner/imprimante(PS) de l'agence à configurer. Je téléphone à l'acheteur pour savoir ce que je devais faire du mastodonte multifonction qui avait été livré sur place. Celui-ci me dit qu'il est en location chez la société X et qu'un technicien de cette société doit passer pour le "brancher". Comme les collègues sur place en avaient besoin (seule imprimante A4/A3 sur place), je décide de configurer le bousin avant de partir.
Ben, moins d'une demi heure après (en lisant la doc papier) j'avais accès au disque dur de cette multifonction de marque C***n et aux copies d'environ quelques dizaines de A4 de la société précédente qui l'avait loué à la société X. Cool, hein ? :-)
Alors, je veux bien que chez certaines boîtes on détruise les disques durs à coup de marteaux lorsque qu'ils sortent du parc, mais pour les copieurs multifonctions loués, c'est moins sûr ! :-)
Cette modif de config peut très bien passer par une faille de sécurité via un mot de passe admin vite cassé, par un buffer overflow...
C'est mieux que ça : Tu crackes la grosse copieuse/multifonction de la "haute" direction de bercy et tu as le droit à "la totale" question photocopies et impressions, le tout avec une interface ethernet à disposition pour la reprogrammer comme tu veux. Le rêve quoi ? ;-)
Et ne pas oublier que des imprimantes utilisent le pop et le smtp ;)
Par exemple.
X.
Erwan David
Yannix écrivait :
Alors, je veux bien que chez certaines boîtes on détruise les disques durs à coup de marteaux lorsque qu'ils sortent du parc, mais pour les copieurs multifonctions loués, c'est moins sûr ! :-)
J'ai fait la scéance de démontage avant que les multifonctions loués ne repartent... Sur Ricoh au moins, l'emplacement physique du disque est mal documenté et pas facile d'accès...
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Yannix <faitmoipeur@gmail.com> écrivait :
Alors, je veux bien que chez certaines boîtes on détruise les disques
durs à coup de marteaux lorsque qu'ils sortent du parc, mais pour les
copieurs multifonctions loués, c'est moins sûr ! :-)
J'ai fait la scéance de démontage avant que les multifonctions loués ne
repartent... Sur Ricoh au moins, l'emplacement physique du disque est
mal documenté et pas facile d'accès...
--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
Alors, je veux bien que chez certaines boîtes on détruise les disques durs à coup de marteaux lorsque qu'ils sortent du parc, mais pour les copieurs multifonctions loués, c'est moins sûr ! :-)
J'ai fait la scéance de démontage avant que les multifonctions loués ne repartent... Sur Ricoh au moins, l'emplacement physique du disque est mal documenté et pas facile d'accès...
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Erwan David
Bruno Tréguier écrivait :
Le 16/03/2011 à 19:30, Yannix a écrit :
La chaîne CBS, l'année dernière, avait fait un reportage sur ce type de copieurs, le constat est absolument édifiant (même en essayant de faire abstraction du côté forcément un peu sensationnaliste):
http://www.youtube.com/watch?v=6pIFUOav2xE
Ben oui, c'est logique : C'est du matériel en location qui n'appartient pas aux sociétés concernées. De quel droit pourraient-elles détruire une partie du matériel qu'elles louent ?
Je l'ai déjà dit dans mon message précédent: il suffit de prévoir une clause de rétention du disque dur dans le contrat de location. Il sera bien entendu un peu plus cher, mais c'est tout à fait possible: nous faisons comme ça...
Mieux : Qu'est-ce qui prouve que le soft embarqué dans le copieur multifonction n'a pas de back door inside exploitable par autrui ?
Absolument rien. Raison de plus pour ne jamais rendre la mémoire de masse, et pour ne laisser à ces appareils qu'un accès très limité au réseau (y compris au LAN). Autre précaution: ne jamais laisser le technicien de dépannage seul.
Il n'y a pas si longtemps, nous avions été un peu taquins avec un loueur de copieurs avec qui nous étions en contrat: à titre purement informatif, nous lui avions demandé s'il avait un document certifiant que son appareil était "sûr". Il nous a dit "mais certainement !", et nous a montré un document attestant que le modèle installé bénéficiait d'un certificat... de la NSA. ;-)
La NSA est (entre autre) organisme certificateur critères communs (comme l'ANSSI en France). À un vendeur qui me disait que son matériel était certifié j'avais demandé le certificat. Ce n'était pas une certification d'un niveau élevé (EAL 2), mais c'était déjà quelque chose.
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Bruno Tréguier <bruno.treguier_at_shom.fr@nullepart.invalid> écrivait :
Le 16/03/2011 à 19:30, Yannix a écrit :
La chaîne CBS, l'année dernière, avait fait un reportage sur ce type de
copieurs, le constat est absolument édifiant (même en essayant de faire
abstraction du côté forcément un peu sensationnaliste):
http://www.youtube.com/watch?v=6pIFUOav2xE
Ben oui, c'est logique : C'est du matériel en location qui n'appartient
pas aux sociétés concernées. De quel droit pourraient-elles détruire une
partie du matériel qu'elles louent ?
Je l'ai déjà dit dans mon message précédent: il suffit de prévoir une
clause de rétention du disque dur dans le contrat de location. Il sera
bien entendu un peu plus cher, mais c'est tout à fait possible: nous
faisons comme ça...
Mieux : Qu'est-ce qui prouve que le soft embarqué dans le copieur
multifonction n'a pas de back door inside exploitable par autrui ?
Absolument rien. Raison de plus pour ne jamais rendre la mémoire de
masse, et pour ne laisser à ces appareils qu'un accès très limité au
réseau (y compris au LAN). Autre précaution: ne jamais laisser le
technicien de dépannage seul.
Il n'y a pas si longtemps, nous avions été un peu taquins avec un
loueur de copieurs avec qui nous étions en contrat: à titre purement
informatif, nous lui avions demandé s'il avait un document certifiant
que son appareil était "sûr". Il nous a dit "mais certainement !", et
nous a montré un document attestant que le modèle installé bénéficiait
d'un certificat... de la NSA. ;-)
La NSA est (entre autre) organisme certificateur critères communs (comme
l'ANSSI en France). À un vendeur qui me disait que son matériel était
certifié j'avais demandé le certificat. Ce n'était pas une certification
d'un niveau élevé (EAL 2), mais c'était déjà quelque chose.
--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
La chaîne CBS, l'année dernière, avait fait un reportage sur ce type de copieurs, le constat est absolument édifiant (même en essayant de faire abstraction du côté forcément un peu sensationnaliste):
http://www.youtube.com/watch?v=6pIFUOav2xE
Ben oui, c'est logique : C'est du matériel en location qui n'appartient pas aux sociétés concernées. De quel droit pourraient-elles détruire une partie du matériel qu'elles louent ?
Je l'ai déjà dit dans mon message précédent: il suffit de prévoir une clause de rétention du disque dur dans le contrat de location. Il sera bien entendu un peu plus cher, mais c'est tout à fait possible: nous faisons comme ça...
Mieux : Qu'est-ce qui prouve que le soft embarqué dans le copieur multifonction n'a pas de back door inside exploitable par autrui ?
Absolument rien. Raison de plus pour ne jamais rendre la mémoire de masse, et pour ne laisser à ces appareils qu'un accès très limité au réseau (y compris au LAN). Autre précaution: ne jamais laisser le technicien de dépannage seul.
Il n'y a pas si longtemps, nous avions été un peu taquins avec un loueur de copieurs avec qui nous étions en contrat: à titre purement informatif, nous lui avions demandé s'il avait un document certifiant que son appareil était "sûr". Il nous a dit "mais certainement !", et nous a montré un document attestant que le modèle installé bénéficiait d'un certificat... de la NSA. ;-)
La NSA est (entre autre) organisme certificateur critères communs (comme l'ANSSI en France). À un vendeur qui me disait que son matériel était certifié j'avais demandé le certificat. Ce n'était pas une certification d'un niveau élevé (EAL 2), mais c'était déjà quelque chose.
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Nicolas George
Yannix , dans le message <iluj6g$3sr$, a écrit :
Ben voyons, la certification "NSA" :-)
Oui, la certification NSA.
Hint : les États Unis ont intérêt à ce que leurs grosses entreprises utilisent des infrastructures qui soient à l'abri de l'espionnage industriel étranger.
Yannix , dans le message <iluj6g$3sr$1@speranza.aioe.org>, a écrit :
Ben voyons, la certification "NSA" :-)
Oui, la certification NSA.
Hint : les États Unis ont intérêt à ce que leurs grosses entreprises
utilisent des infrastructures qui soient à l'abri de l'espionnage industriel
étranger.
Hint : les États Unis ont intérêt à ce que leurs grosses entreprises utilisent des infrastructures qui soient à l'abri de l'espionnage industriel étranger.
Bruno Tréguier
Nicolas George wrote:
Yannix , dans le message <iluj6g$3sr$, a écrit :
Ben voyons, la certification "NSA" :-)
Oui, la certification NSA.
Pour Yannix: http://www.ssi.gouv.fr/site_article53.html
Hint : les États Unis ont intérêt à ce que leurs grosses entreprises utilisent des infrastructures qui soient à l'abri de l'espionnage industriel étranger.
L'inverse n'étant en revanche pas forcément vrai (et c'est ça qui m'avait fait tiquer initialement, concernant le copieur), mais il y a effectivement reconnaissance mutuelle des niveaux EAL des critères commmuns (jusqu'à EAL 4 d'après ce que j'ai lu).
Cordialement,
-- Bruno Tréguier
Nicolas George wrote:
Yannix , dans le message <iluj6g$3sr$1@speranza.aioe.org>, a écrit :
Ben voyons, la certification "NSA" :-)
Oui, la certification NSA.
Pour Yannix: http://www.ssi.gouv.fr/site_article53.html
Hint : les États Unis ont intérêt à ce que leurs grosses entreprises
utilisent des infrastructures qui soient à l'abri de l'espionnage industriel
étranger.
L'inverse n'étant en revanche pas forcément vrai (et c'est ça qui
m'avait fait tiquer initialement, concernant le copieur), mais il y a
effectivement reconnaissance mutuelle des niveaux EAL des critères
commmuns (jusqu'à EAL 4 d'après ce que j'ai lu).
Pour Yannix: http://www.ssi.gouv.fr/site_article53.html
Hint : les États Unis ont intérêt à ce que leurs grosses entreprises utilisent des infrastructures qui soient à l'abri de l'espionnage industriel étranger.
L'inverse n'étant en revanche pas forcément vrai (et c'est ça qui m'avait fait tiquer initialement, concernant le copieur), mais il y a effectivement reconnaissance mutuelle des niveaux EAL des critères commmuns (jusqu'à EAL 4 d'après ce que j'ai lu).
Cordialement,
-- Bruno Tréguier
Yannix
Le 18/03/2011 09:58, Bruno Tréguier a écrit :
Nicolas George wrote:
Yannix , dans le message <iluj6g$3sr$, a écrit :
Ben voyons, la certification "NSA" :-)
Oui, la certification NSA.
Pour Yannix: http://www.ssi.gouv.fr/site_article53.html
Et donc c'est à quel endroit de ton lien que l'on parle de "certification NSA" ?
X.
Le 18/03/2011 09:58, Bruno Tréguier a écrit :
Nicolas George wrote:
Yannix , dans le message <iluj6g$3sr$1@speranza.aioe.org>, a écrit :
Ben voyons, la certification "NSA" :-)
Oui, la certification NSA.
Pour Yannix: http://www.ssi.gouv.fr/site_article53.html
Et donc c'est à quel endroit de ton lien que l'on parle de
"certification NSA" ?
Pour Yannix: http://www.ssi.gouv.fr/site_article53.html
Et donc c'est à quel endroit de ton lien que l'on parle de "certification NSA" ?
X.
Stephane Catteau
Yannix devait dire quelque chose comme ceci :
Ben voyons, la certification "NSA" :-)
Oui, la certification NSA.
Pour Yannix: http://www.ssi.gouv.fr/site_article53.html
Et donc c'est à quel endroit de ton lien que l'on parle de "certification NSA" ?
<http://www.ssi.gouv.fr/site_article53.html> Les organismes de certification qualifiés pour émettre des certificats dans le cadre de cet accord sont : [snip] * pour les USA le NIAP(www.nsa.gov/ia/business_rese...) </>
<www.nsa.gov/ia/business_rese...> NSA manages the National Information Assurance Partnership (NIAP), a U.S. Government program originated to meet the security testing needs of both consumers and producers of information technology (IT). </>
-- 17/06/1969 - 18/01/2011
Repose en paix mon amour :'(
Yannix devait dire quelque chose comme ceci :
Ben voyons, la certification "NSA" :-)
Oui, la certification NSA.
Pour Yannix: http://www.ssi.gouv.fr/site_article53.html
Et donc c'est à quel endroit de ton lien que l'on parle de
"certification NSA" ?
<http://www.ssi.gouv.fr/site_article53.html>
Les organismes de certification qualifiés pour émettre des certificats
dans le cadre de cet accord sont :
[snip]
* pour les USA le NIAP(www.nsa.gov/ia/business_rese...)
</>
<www.nsa.gov/ia/business_rese...>
NSA manages the National Information Assurance Partnership (NIAP), a
U.S. Government program originated to meet the security testing needs
of both consumers and producers of information technology (IT).
</>
Pour Yannix: http://www.ssi.gouv.fr/site_article53.html
Et donc c'est à quel endroit de ton lien que l'on parle de "certification NSA" ?
<http://www.ssi.gouv.fr/site_article53.html> Les organismes de certification qualifiés pour émettre des certificats dans le cadre de cet accord sont : [snip] * pour les USA le NIAP(www.nsa.gov/ia/business_rese...) </>
<www.nsa.gov/ia/business_rese...> NSA manages the National Information Assurance Partnership (NIAP), a U.S. Government program originated to meet the security testing needs of both consumers and producers of information technology (IT). </>
