Supposons la situation suivante, pas tout à fait inventée :
Dans une grande entreprise, un DRH exige de d'une partie des employés
qu'ils saisissent - via un logiciel maison - toutes sortes de données
(coordonnées des employés, données relatives à leurs emplois...) ce
logiciel est manifestement destiné au flicage du travail des employés.
Ce logiciel envoie les données par une connexion FTP sur un serveur qui
centralise les dossiers.
Un employé du service informatique, agacé par ce logiciel de merde,
découvre qu'il est possible de récupérer les paramètres de connexion au
serveur simplement en sniffant la connexion : adresse, login et mot de
passe circulent en clair. Ceci permet à n'importe qui de récuperer les
fichiers de données.
La faille est signalée par le bricoleur à sa hiérarchie. Le bricoleur se
contente de vérifier par la lecture d'un fichier et l'écriture/effacement
d'un autre qu'il a bien un accès complet au serveur. RIEN n'a été modifié.
Le logiciel est téléchargeable sur le web (référencé par google), son
démarrage nécessite un mot de passe trivial communiqué par courrier aux
employés, inchangé depuis 3 ans et commun à tous les employés.
Bref, l'aspect sécurité à été totalement bâclée.
Quel est la responsabilité de chacun dans ce merdier ?
Peut-on reprocher quoi que ce soit au découvreur de la faille, même si son
intention était bien de mettre les pieds dans le plat et le nez dans le
caca de certains.
Pour le fun, j'ajoute qu'il n'y a vraisemblablement aucune déclaration à
la CNIL du bidule ;-)
Méphisto
--
C'est parce que la lumière est plus rapide que le son que certains
ont l'air brillants avant d'avoir l'air con
>d'un autre côté, je vois mal un auteur de virus poursuivre un éditeur d'antivirus pour un reverse engineering de son oeuvre et pour faire valoir ses droits d'auteur ;-)
dans le cas de Spyware, je crois qu'un antispyware a eu affaire à une boîte qui demandait des comptes pour calomnies ou un truc du genre parce que l'antispy avait détexté un bout de code comme tel.
>d'un autre côté, je vois mal un auteur de virus poursuivre un éditeur
d'antivirus pour un reverse engineering de son oeuvre et pour faire valoir
ses droits d'auteur ;-)
dans le cas de Spyware, je crois qu'un antispyware a eu affaire à une
boîte qui demandait des comptes pour calomnies ou un truc du genre
parce que l'antispy avait détexté un bout de code comme tel.
>d'un autre côté, je vois mal un auteur de virus poursuivre un éditeur d'antivirus pour un reverse engineering de son oeuvre et pour faire valoir ses droits d'auteur ;-)
dans le cas de Spyware, je crois qu'un antispyware a eu affaire à une boîte qui demandait des comptes pour calomnies ou un truc du genre parce que l'antispy avait détexté un bout de code comme tel.
