OMG ! 100% des grandes entreprises françaises ont des failles de sécurité

Publié initialement à : https://korben.info/omg-100-grandes-entreprises-francaises-ont-failles-de-securite.html

Ce matin, sur Twitter, on m’a envoyé cet article des Échos en me demandant ce que j’en pensais. Pour ceux qui auraient la flemme de le lire, ça parle d’une étude menée par le cabinet de conseil Wavestone sur le niveau de sécurité des grandes entreprises françaises. En gros, ils ont repris tous les audits de…

1 « J'aime »

C’est moi ou le billet démarre comme un avis sur un article et se termine en publicité?

1 « J'aime »

Je me suis fait la même remarque :).

Le mouvement open source a mené au plus grand transfert de compétence de la mondialisation sous-couvert d’un utopique partage de connaissance. Le nombre de dev payé trois sous qui font maintenant faire leur boulot par des dev indiens, chinois, pakistanais, pour 5 euros de l’heure, lorsque ce n’est pas la boîte pour laquelle ils travaillent qui le fait directement. Aucune traçabilité du code n’existe, ni du profil des dev commissionnés, qui travaillent parfois directement pour les gouvernement locaux. Des admins donnent régulièrement accès à leur serveur avant de partir en week-end ou en vacances. Mais ce sont des sujets tabous dont ils ne faut parler, alors chuuuuuuut…

1 « J'aime »

ola la pub juste après une accroche comme ca … c’est gros quand même … :grinning:

En même temps pour la pub c’était annoncé : “Heureusement, et là, je vais prêcher pour ma paroisse”

Salut,

Si je puis me permettre un commentaire sur la partie intéressante (celle avant la pub) : il faut savoir que quand on est étudiant dans l’enseignement supérieur, on apprend très souvent à coder du code troué. Par exemple, suivez un cours sur un sujet ultra-connu : la programmation web, du genre php+mysql. Lorsque le prof vous donne un exemple, j’ai l’impression que dans 50% des cas, il vous demande de prendre en modèle son code avec des grosses injections SQL.

Je suis sûr que si les enseignant apprenait aux élèves de CP comment écrire leurs premier mots en montrant des exemples avec des fautes d’orthographe, ça ferait le buzz sur les réseaux sociaux et tout le monde qui verrait ça sur TF1 au 20h hurlerait “c’est une honte”.

Mais l’utilité sociale de l’orthographe… C’est un truc inventé par les bourgeois pour générer de la discrimination sociale et se distinguer du bas peuple. Si tu fais une faute d’orthographe, tu te retrouve pas avec 100 millions de mot de passe d’utilisateurs dans la nature… Alors que si tu fais une faute de sécurité, si.

L’enseignement supérieur doit apprendre aux étudiants en info à coder sans montrer en exemple du code avec des failles aussi gros que San Andreas. Si vous êtes étudiant et que le prof vous fait ça, allez le voir, expliquez lui ce que cela va donner après quand il aura ses étudiants en entreprise !

(je généralise un peu, je ne parle pas des 50% d’enseignants qui font l’effort de donner du code solide et d’expliquer dans quels pièges il ne faut pas tomber)

“Des Informations Techniques Superflues sont diffusées” c’est une faille de sécurité ça???

en même temps c’est sa passion,son aventure et il est sur son site !!
en plus,oui,c’est annoncé …
offusquer les offusqués

Intéressant. N’y a t il pas des logiciels qui passent un code à la moulinette et relèvent les erreurs?

Si tu fais pas la différence entre une information et de la communication, tu gobes tout et n’importe quoi.

Regarder TF1 est déjà une honte en soi. Pour le reste votre message est plein de fautes, sûrement la raison pour laquelle vous réduisez l’orthographe à une stratégie de discrimination. Je vous encourage vivement à apprendre votre histoire car ce que vous dîtes est une invention, un mensonge! Aussi vous pouvez garder vos statistiques du genre :50% des enseignants… Les chiffres c’est pas à la louche! Mais je vois que vous aussi vous diffusez sans problème des informations erronées.

Salut,

Je ne sais pas si tu es/a été un étudiant en informatique (ou même un prof) mais ton discours me semble incorrect (outre le paralèlle maladroit avec l’orthographe… dont le rapport me semble flou :slight_smile: !)

A l’université, l’objectif n’est clairement pas que les étudiants sachent faire du code industriel. Les matières techniques (programmation & co) ne servent qu’à faire comprendre aux étudiants les différents concepts des langages. Citons pour exemple le paradigme (OOP, fonctionnel, etc.) , les éléments du langage (jointure, pointeur, exceptions, etc), ses spécificités (typage, etc.) et bien d’autres choses.
En gros, les étudiants doivent pouvoir appréhender tous ces nouveaux concepts.

Alors imaginons si, en plus de ça, une couche “sécurité” serait rajoutée dans l’enseignement de ce genre de matières. Ce serait juste le bordel… et c’est pas le but encore une fois. De la même manière où lorsqu’on t’enseigne à déployer un serveur Tomcat, on s’en fout de la tolérance aux pannes… parce que même si c’est important, on peut pas tout concaténer ensemble.

Mais là où je te rejoins et pour finir, c’est que bien heureusement il y a des matières et même des filières consacrées à ce genre d’enseignements. Des filières de sécurité ou systèmes distribués (pour le cas de la tolérance aux pannes) ça existent.

Voilà, juste pour conclure : il ne faut pas tout mélanger !

Oh que oui …

normalement tu devrais cacher le plus de choses pour éviter d’attirer l’attention…

Si ton site dit “coucou je suis sur APACHE” ton hacker va chercher les failles dans ce sens -> alors que l’important c’est ce que tu veux afficher pas sur quel support
SI ton PHP-MYSQL dit “je suis à tel version” -> directe il va voir si c’est à jour ou pas et du coup les failles-> alors que cette information n’est pas utile pour tout le monde
etc, etc …
c’est comme le gars qui fourni dans un appel d’offre Public un schéma de son réseau avec toutes les IP d’admin dessus …

Vous avez raison, mais c’est la tournure de phrase qui pose problème, ces informations sont loin d’être superflues.

Pour avoir étudié un moment à l’université,

Les enseignements dépendent surtout des profs qui les font.
Nous on a eu des profs (maitre de conf simple), des enseignants chercheurs et des doctorants.

Les maitres de conf sont bon en général et font des cours relativement bien ficelé.
Les enseignants chercheurs appliquent bêtement le même cour année après année et, en se renseignant un peu, on peut assez facilement trouver des problèmes et des éléments qui ne sont pas forcément à jour (après, ça dépend du cour et de leur domaine de recherche).
Les doctorants n’en ont strictement rien à péter, souvent, ils sont moins bon (notamment dans les langages de programmation) qu’une partie de leurs élèves et font des exemples bourré de failles de sécurité et/ou de bugs.

Pour les cours de sécurité, on a eu des profs qui disait que tant qu’il n’y a pas de sans fil, la communication est sur à 100% (alors qu’écouter un câble c’est très facile) alors qu’en sécurité, ce que l’on apprend dès que l’on pratique un peu, c’est qu’il y a toujours un moyen de faire. Le but de la défense étant de faire en sorte que passer coute plus cher que ce que cela pourrait rapporter (coefficient à définir selon la politique de sécurité).

Et justement pour en revenir à l’article, c’est très grossier comme étude car dès que l’on fouille un peu et ce quel que soit le site, on trouvera toujours une faille.

1 « J'aime »

Je vois pas ça comme de la pub. Je parle de ce que je connais et de ce que je sais faire, au travers de Bounty Factory qui est mon projet. C’est surtout pour expliquer comment on a géré les choses et ce qu’on a mis en place justement pour réduire ces fameuses vulnérabilités présentes sur tous les sites.

1 « J'aime »

et bien toi , tu ne porte pas bien ton pseudo !!

quest ce que tu raconte ?

korben est à fond dans ses bugs bounty ! si tu suis tu le sais !

ou alors tu ne suit pas et tu imagine tous les blogs de fielleux individus et fais la chasse au nom du libre “ouvert grave”

il y a une réelle information une bonne moitié de l’article ! sa com est plus que logique et bien placé,puisque “chez lui” ! si t’aime pas,faut pas venir lire korben pendant qu’il est dans son trip … moi c’est le genre d’article qui me saoule,mais je suis conscient de ne pas être le seul être humain sur cette terre !! et je suis "grave ouvert " moi !!

on dirait une petit garçon vexé d’une remontrance … (qui n’en était pas une ! )

mais voila ! tu vas quand même pas reprocher à korben de signaler sur son blog qu’il est qualifié par rapport a ce qu’annonce l’information qu’il nous donne ! ?

il y en a des sites ou l’auteur répète a tous bout de champs qu’il est ouvert,libre,ne fait pas de pub,ne gagne rien sur les gentils lecteurs,passe plus de temps a se justifier qu’a être réellement ouvert et franc !
je ne donnerais pas de nom ! mais ya un paquet !!

korben ne se cache pas lui ! il a toujours été clair ! il bosse… dans son trip des bug bounty,ses salades d’HLM (ça sa ne me saoule point !! )et son emplois du temps qui le dépasse toujours … c’est tonton korben ! et il faut bien qu’il mange autre choses que ces salades … le bougre !

désolé pour tous ces point d’exclamation ! c’est moi … puis t’en mérite beaucoup monsieur l’ouvert ! il faut dire !!

@skepty, @pokukute, DRAXARD,

Je vous présente mes excuses pour mon message effectivement très généralisateur, avec des éléments un peu parachutés et volontairement un peu caricatural. Ce n’était pourtant pas mon intention de concourir pour devenir le plus gros troll d’internet. Vos réponses sont parfois très intéressante (par exemple pokukute sur le fait que “coder” n’est pas l’objectif principal de l’info à l’université) et parfois exprimées avec une grande gentillesse (n’est-ce pas skepty :).

Permettez-moi de parler de mon expérience, qui reste une situation anecdotique mais qui vous permettra peut-être de me comprendre. Cela fait longtemps que je ne suis plus sur les bancs de l’enseignement supérieur, c’est vrai. Mais j’ai eu il y a quelques années à accueillir des collègues informaticiens fraîchement sortis de leurs études supérieures. On est une très petite équipe, et on ne produit pas une quantité énorme de code, et il n’est pas utilisé par des milliers d’utilisateurs, et il ne rapporte pas des millions… Mais on a des projets qui nécessitent parfois un peu de développement web. Dans ces circonstances on n’a pas les moyens de commander un audit de sécurité indépendant à chaque fois que quelqu’un fait passer une nouvelle ligne de code en production, ce qui implique que l’on doit se responsabiliser sur son propre code.

Donc, ces 2 collègues (école d’ingé et master info), par ailleurs plutôt compétents en programmation mais fraîchement sortie de leurs études, ont eu à mettre en place des petites interfaces web, du requetage tout simple de base de donnée… “pas de problème, j’ai appris ça dans mes études”.

Sauf que dans son cours, il y a des exemples fourni par l’enseignant en guise d’exemple à suivre :

if (isset($_GET['id']) {
  $id=$_GET['id'];
  $req="select * from PRODUITS where CODE_CAT=$id";
  $query=mysql_query($req) or die (mysql_error());
  (...)
}

Pour ceux à qui cela aurait échappé, il y a une bonne vielle injection SQL. Quand on a appris à partir d’exemples avec des failles, et quand on a eu des bonnes notes en TP en rendant du code avec des failles, on se retrouve à coder avec des failles à tous les coups. Et il faut un certain temps pour désapprendre les mauvais réflexes ou adopter des méthodes de programmation plus robustes. Le risque zéro n’existe pas, mais c’est mieux que le risque 100% quand on s’entraîne à faire des failles (le parallèle avec l’orthographe était maladroit hors de son contexte mais dans celui-ci je ne le retire pas).

Plus récemment je me suis inscrit par curiosité à des MOOC d’informatique, pas pour chercher des failles, juste pour découvrir en quoi ces nouveaux dispositifs pédagogiques pouvaient favoriser l’apprentissage de l’informatique. Et je suis tombé sur un MOOC de base de données avec les mêmes problèmes.

Enfin, plus récemment, pour pouvoir avoir une impression de l’étendu du phénomène, j’ai interrogé un moteur de recherche avec la requête suivante : php mysql “submit” cours université
(pour tomber sur des cours de programmation web qui contiennent des formulaires… Bien sûr il y aurait probablement d’autres requêtes pertinentes)

  • Dans les 20 premiers liens, il y avait 7 cours écrits par de vrais enseignants dans le supérieur avec requête sur base de données à partir d’un formulaire web.
  • 4 d’entre eux proposent en modèle aux étudiants du code avec une injection SQL très évidente. (je garde les mauvais exemples anonymes pour ne pas stigmatiser des individus)
  • Les 3 autres proposaient du code dans lequel les données utilisateurs étaient correctement contrôlées - pour autant que je puisse l’observer avec un survol rapide (Jean Engels mais ce n’est pas un cours à proprement parler, c’est un extrais de son livre ; Rémy Malgouyres IUT Clermont 1 qui va même jusqu’à sensibiliser les étudiants aux risques d’injections et proposer PDO ; et Nhan LE THANH université de Nice) (citation désintéressée, je ne connais aucune de ces personnes). Je remercie ces enseignants et tout ceux qui font l’effort de proposer en modèle aux étudiants du code qui ne va pas provoquer un désastre sécuritaire s’il se retrouve en prod sur un projet important.

Bien sûr on peut critiquer ma méthodologie et mes imprécisions, mais je n’écris pas une thèse, juste ma réaction à un article de blog, un message qui présente ma conviction. Je vous respecte totalement même si vous n’êtes pas d’accord avec moi.

J’ai arrêté de lire au bout de deux phrases, les fautes niveau CM1 ça commence franchement à bien faire!