Ma petite parcelle d'Internet...

1. Le vendredi 29 juillet 2011 à 15:53, par Lou

J'irais plutôt dans le sens de certains commentaires sur ServerFault:
C'est un gag ou du "mauvais" social engineering.
Par ailleurs, entre le soi-disant auditeur et l'audité qui est prêt à fournir les données quitte à fabriquer un faux... Lequel des deux est le plus à blâmer?

Réponse de Sid

Fort possible. Mais des gars comme ça, si tu avais seulement idée du nombre que j'en ai croisés... Même si dans mon cas, il sont plus du côté des audités ;)

2. Le vendredi 29 juillet 2011 à 16:31, par Acné

Il a probablement été formé par le neveu du patron...

3. Le dimanche 31 juillet 2011 à 11:36, par Fred

Lors d'un audit PCI DSS, l'auditeur n'a pas à obtenir les mots de passe en clair, il doit s'assurer que les systèmes sont configurés de façon à ce que les utilisateurs soient contraints à choisir un mot de passe complexe.

L'auditeur doit aussi s'assurer que les comptes des personnes sensibles ayant quitté la société récemment sont bien désactivés.

Le problème vient du fait qu'aux US et en UK, le PCI DSS a pris une grande place. Du coup, des sociétés d'audit se sont créées et emploient des auditeurs à la limite de l'incompétence, qui suivent bêtement la checklist sans chercher à comprendre.

Il est clair cependant que des auditeurs sont parfois incompétents, je le constate quand je passe derrière. Les administrateurs ne sont pas tous des cadors non plus en sécurité.

4. Le lundi 1 août 2011 à 08:50, par sanguinarius

Effectivement c'est assez affligeant :s
Mais je pense que depuis quelque année c'est de pire en pire, en effet on arrive a une generation non plus de gros passionné mais de kikoo qui veulent se la jouer Hacker et qui lance des tools sans rien comprendre, qui rendent a leurs clients seulement un rapport Nessus mis en page differement.

@Fred: il faut aussi ce dire que parfois l'admin est un peu pied et point lié :)

5. Le lundi 1 août 2011 à 12:04, par Gaëtan

Quand on reçoit encore des rapports nessus reformatés pour des pentests ça incite pas vraiment à se bouger le cul en tant que sysadmin. Quoique trouver un argument pour dire que le port discard n'est pas ouvert ça peut être long...

6. Le lundi 1 août 2011 à 21:45, par Fred

C'est pas la faute des SysAdmins, mais trop souvent les entreprises (et les achats) achètent des prestations de pentest comme du PQ, ils prennent le moins chère. Ils pensent que le pentest est automatisé, et que c'est comme les yahourts, "c'est les mêmes".

Ils n'ont qu'à prendre des professionnels et ils n'auront pas des rapports Nessus reformatés.

7. Le mardi 2 août 2011 à 09:55, par Gaëtan

@Fred Je sais bien qu'un bon pentest existe, mais dans pas mal de cas comme tu le dis c'est géré comme l'achat de PQ. Je suis toujours du côté audité et c'est pas ma boite qui choisit le pentest, mais je préférerai avoir un vrai pentest qui montre que j'ai fait de la merde ce qui me permettrai 1 de m'en rendre compte et 2 de justifier que ce que je n'ai que peu de temps pour faire nécessite vraiment du temps. Je sais que l'idée de certifier les pentesters a bien fait troller mais il y a quelque chose à faire, la main invisible du marché n'a pas étranglé les branques.

8. Le mardi 2 août 2011 à 11:05, par smiler

Aucun QSA n'est sensé demander la liste des mots de passe des utilisateurs en clair, ni même aucun auditeur d'ailleurs. Ce QSA, si il existe vraiment, doit tout simplement être révoqué, et l'audité lui-même mérite une bonne sensibilisation.

Par ailleurs, ce sont de vrais audits sécurité techniques qui doivent être faits avec PCI-DSS afin de remplir toutes les exigences, et non simplement des interviews "organisationnel" avec du remplissage de tableau Excel qui sont loin d'être la priorité principale de l'audit.

9. Le mercredi 3 août 2011 à 20:31, par gil

Espérons qu'il fournisse le nom de la compagnie et de l'auditeur quand même à la fin, ils méritent bien ça...

10. Le jeudi 4 août 2011 à 12:52, par Monsieur Michu

J'avais envie de vous laisser entre spécialistes, jugeant inutile d'ajouter que chez les particuliers la sécurité labellisée n'était pas au top non plus.
Puis je suis allé faire un tour chez l'ami Zythom, d'ordinaire si pondéré, qui s'emportait contre un Manifeste pour une Haute Autorité du Net, au point de dégainer son chéquier pour faire un don à Jérémie & ses gus.
J'ai voulu en savoir plus sur ces nouveaux Hauts Autoritaires qui ambitionnent de désinfecter Internet mieux que ne le font déjà HADOPI, LOPPSI et tutti quanti en me rendant à leur domicile :
http://pourunehauteautoritedunet.over-blog.com/
Effectivement (Anéfé étant chasse gardée), le gibier qu'ils espèrent atomiser (sauf si c'est impossible, faut pas déconner non plus) m'a laissé pantois.
Dans l'ordre de priorité qu'ils ont établi :
"Phishing, fraudes dites « 419 » ou « Nigérianes », chantage, vente de contrefaçons de luxe ou de produits pharmaceutiques, diffusion de virus, scareware, escroqueries financières, faux diplômes, jeux et loteries illégaux".
Je me suis pincé pour être certain de ne pas rêver avant de lire la seconde couche :
"Pédopornographie, proxénétisme, usurpation d'identité, agressions sexuelles, violences volontaires ou involontaires, mise en danger de la vie d'autrui, atteinte à la vie privée, atteinte au secret des correspondances, dénonciation calomnieuse".
Là, franchement, si j'avais su en avant projet qu'il m'était possible de filer des baffes par clavier interposé...
Bref, on s'accroche à l'herbe pour analyser la troisième couche :
"Provocation à la haine, à la discrimination et à la violence raciale, apologie de crime, négationnisme, discrimination à raison d'orientations sexuelles ou d'un handicap, incitation à l'usage de produits stupéfiants, apologie du suicide, droit à l'image, injures et diffamation".
HALDE là, mais ouf! enfin un lien direct avec les prochaines élections présidentielles.

11. Le lundi 8 août 2011 à 16:13, par Gourmet

@Monsieur Michu Faut pas te leurrer et te tromper de gibier. Les cancres ou, plutôt, les pauvres gus qui ont été payés pour écrire ces âneries sous dictée l'ont fait sous la contrainte d'autres gus qui n'ont pas d'autres choix que de proposer quelque chose. Dans bon nombre de domaines c'est la même chose : santé, agro-alimentaire, chimie, pétrole, grandes surfaces, etc.

Le niveau général en gestion de l'information (informatique et je ne parle même pas de sécurité) de la population étant bien inférieur au niveau de culture général déjà pas bien brillant (*) il n'est donc plus ahurissant de voir des propositions de loi vantant le mérite du filtrage par DNS au niveau du FAI (en oubliant ceux qui gèrent le DNS par leurs propres moyens soit un maximum d'entreprises), de voir le filtrage des sites web présenté comme arme fatale contre la pédopornographie (qui se fiche comme d'une guigne des sites web étant donné qu'elle rabat par messagerie instantanée ou non, SMS, SIP, MegaUpload et autres). Et j'en passe.

Sachant tout de même que tout le monde ne peut pas être un parfait idiot dans cette longue chaîne de solidarité, à un moment il faut se poser légitimement la question "à qui profite le crime" ? Zythom l'écrit lui-même [MISC n° 156, p. 48] : "La pédopornographie est surtout utilisée comme prétexte pour faire passer des lois liberticides par des personnes qui ont des intérêts dans le contrôle."

db

(*) Genre : - voici "le centre du monde" de Courbet . - ah bon, Julien il est peintre ? ou - la crémière de Chambourcy (véridique, entendu au Louvre où le tableau de Vermeert est exposé).

Bon, je ne vais pas trop dauber car perso je ne connais rien en mécanique automobile, en droit ou en réparation de satellites.

12. Le lundi 8 août 2011 à 16:14, par Gourmet

Concernant le QSA dont il est question, s'il existe vraiment, il faut connaître le nom de sa boîte qu'on ne fasse surtout pas appel à elle !

db

13. Le lundi 8 août 2011 à 16:16, par Gourmet

Historiquement il y a eu à boire et à manger (surtout à jeter) dans les QSA PCI-DSS américains des années 2007 à 2009. D'où les Heartland and Co. A priori, le PCI Council était censé faire le ménage à partir de 2010. db