Bygmalion : les clés sont sur le paillasson : Reflets
vendredi 23 mai 2014 à 15:34 Sebsauvage, le 23/05/2014 à 10:28
⊙▂⊙
>﹏<
C'est juste pas croyable.
(Permalink)
HowTommy, le 23/05/2014 à 14:17
Quel genre de mec peut faire ça ? Franchement c'est fait volontairement, c'est pas possible autrement...
(Permalink)
Riff, le 23/05/2014 à 15:19
"Quel genre de mec peut faire ça ? Franchement c'est fait volontairement, c'est pas possible autrement..."
D’expérience, je ne pense pas qu'il faille voir ça comme quelque chose de volontaire, plus comme de l'incompétence banale (cf l'article de reflet qui parle d'un stagiaire sous-payé).
J'ai vu bien pire sur le serveur web de la boite ou je bosse actuellement (dans le service chargé du dev web pour les actions com et le marketing) : aucun des sites ou des applis web codées par mon chef (pourtant censé être ingénieur) ou par l'alternant qui occupait mon poste auparavant (élève en école d'ingé) n'était sécurisée, rien n'était contrôlé ou "sanitizé", les mots de passes circulaient en clair (en même temps, quand c'est "admin/admin"...), les cms et les frameworks étaient 3-4 versions en retards, la config du serveur web était complètement foireuse et aucun soft n'était à jour... Dans les mois suivant mon arrivée on a eu 2 défaçage de l'un de nos sites, dues à des failles stupides. La seule réaction de mon chef : réparer les dégats, et surtout tout faire pour que l'info ne sorte pas du service (histoire de ne pas gâcher sa réputation...), et faire comme si de rien n'était.
Il a fallu qu'on ait une alerte de la part de Zataz transmise directement au RSSI pour que celui-ci apprenne le problème, se fâche et demande un audit (dont les résultats ont évidemment été désastreux) avant que mon chef ne me demande de remettre un peu d'ordre... ça m'a pris 6 mois, et honnêtement, j'ai juste collé de pauvres rustines là où je pouvait et là ou ça craignait le plus, parce qu'il aurait fallu tout reprendre à zéro...
Alors voire ce genre de trucs dans le boulot d'une boite de com', ça m'étonne pas plus que ça... Surtout que, comme le dit très bien reflet, Bygmalion est une boite de com', le dev n'est pas réellement son métier...
(Permalink)
Sammy Fisher Jr, le 23/05/2014 à 15:34
"Voyons maintenant le bon côté des choses : au final, on ne peut que se satisfaire que Bygmalion ait pu facturer à l’UMP des meetings imaginaires, car on peut légitimement se demander ce qu’il serait advenu des données personnelles des participants à ces meetings si ce genre de code avait servi à leur inscription."
Sinon, on sent bien que Bluetouff ne s'est pas remis de son traumatisme :
"Petit rappel à toutes fins utiles, ce n’est pas parce que les clés sont sur le paillasson, que vous êtes invités à pénétrer. Toute tentative de connexion à cette base de données relèverait de l’infraction pénale qualifiant l’intrusion et le maintien frauduleux dans un système de traitement automatisé de données."
via http://sebsauvage.net/links/?K4Ksfw
(Permalink)
⊙▂⊙
>﹏<
C'est juste pas croyable.
(Permalink)
HowTommy, le 23/05/2014 à 14:17
Quel genre de mec peut faire ça ? Franchement c'est fait volontairement, c'est pas possible autrement...
(Permalink)
Riff, le 23/05/2014 à 15:19
"Quel genre de mec peut faire ça ? Franchement c'est fait volontairement, c'est pas possible autrement..."
D’expérience, je ne pense pas qu'il faille voir ça comme quelque chose de volontaire, plus comme de l'incompétence banale (cf l'article de reflet qui parle d'un stagiaire sous-payé).
J'ai vu bien pire sur le serveur web de la boite ou je bosse actuellement (dans le service chargé du dev web pour les actions com et le marketing) : aucun des sites ou des applis web codées par mon chef (pourtant censé être ingénieur) ou par l'alternant qui occupait mon poste auparavant (élève en école d'ingé) n'était sécurisée, rien n'était contrôlé ou "sanitizé", les mots de passes circulaient en clair (en même temps, quand c'est "admin/admin"...), les cms et les frameworks étaient 3-4 versions en retards, la config du serveur web était complètement foireuse et aucun soft n'était à jour... Dans les mois suivant mon arrivée on a eu 2 défaçage de l'un de nos sites, dues à des failles stupides. La seule réaction de mon chef : réparer les dégats, et surtout tout faire pour que l'info ne sorte pas du service (histoire de ne pas gâcher sa réputation...), et faire comme si de rien n'était.
Il a fallu qu'on ait une alerte de la part de Zataz transmise directement au RSSI pour que celui-ci apprenne le problème, se fâche et demande un audit (dont les résultats ont évidemment été désastreux) avant que mon chef ne me demande de remettre un peu d'ordre... ça m'a pris 6 mois, et honnêtement, j'ai juste collé de pauvres rustines là où je pouvait et là ou ça craignait le plus, parce qu'il aurait fallu tout reprendre à zéro...
Alors voire ce genre de trucs dans le boulot d'une boite de com', ça m'étonne pas plus que ça... Surtout que, comme le dit très bien reflet, Bygmalion est une boite de com', le dev n'est pas réellement son métier...
(Permalink)
Sammy Fisher Jr, le 23/05/2014 à 15:34
"Voyons maintenant le bon côté des choses : au final, on ne peut que se satisfaire que Bygmalion ait pu facturer à l’UMP des meetings imaginaires, car on peut légitimement se demander ce qu’il serait advenu des données personnelles des participants à ces meetings si ce genre de code avait servi à leur inscription."
Sinon, on sent bien que Bluetouff ne s'est pas remis de son traumatisme :
"Petit rappel à toutes fins utiles, ce n’est pas parce que les clés sont sur le paillasson, que vous êtes invités à pénétrer. Toute tentative de connexion à cette base de données relèverait de l’infraction pénale qualifiant l’intrusion et le maintien frauduleux dans un système de traitement automatisé de données."
via http://sebsauvage.net/links/?K4Ksfw
(Permalink)