{"id":441,"date":"2010-02-22T18:10:28","date_gmt":"2010-02-22T17:10:28","guid":{"rendered":"http:\/\/j-mad.com\/blog\/?p=441"},"modified":"2010-10-30T18:17:54","modified_gmt":"2010-10-30T16:17:54","slug":"piratage-en-blouse-blanche-episode-2","status":"publish","type":"post","link":"https:\/\/j-mad.com\/blog\/2010\/02\/22\/piratage-en-blouse-blanche-episode-2\/","title":{"rendered":"Piratage en blouse blanche (\u00e9pisode 2)"},"content":{"rendered":"

Bon, ben voil\u00e0, apr\u00e8s quelques semaine d’attente, et malgr\u00e9 les multiples obstacles que j’ai du surmonter, voici le nouveau chapitre de mon polar geek, qui du coup, gagne un titre un peu moins g\u00e9n\u00e9rique que Polar Geek. Un remerciement tout sp\u00e9cial \u00e0 ma ch\u00e8re et tendre qui a h\u00e9rit\u00e9 du travail de relecture. Et au vu de ses remarques, parfois assassines, ce ne fut pas de tout repos….
\nBonne Lecture<\/em><\/p>\n

\u00abAvec plaisir oui, sucr\u00e9 et avec un peu de lait s’il vous pla\u00eet\u00bb.
\nEt en plus il sucre son caf\u00e9… Si vous voulez mon avis, on devrait torturer les gens qui g\u00e2chent le caf\u00e9 en le sucrant.
\n\u00abVous me disiez que vous vous \u00e9tiez fait pirater, expliquez-moi \u00e7a, et d’abord, qu’est-ce que vous vous \u00eates fait pirater ?\u00bb.
\n\u00abOui vous avez raison, il faut que je vous explique. Mais… Tout d’abord, ce que je vous dirais restera bien confidentiel n’est-ce pas ? Comme avec les avocats ?\u00bb.
\nNe pas rire, ne pas rire, me r\u00e9p\u00e9tais-je alors.
\n\u00abEn fait non, Monsieur, mais j’ai une certaine d\u00e9ontologie que je respecte et si vous le voulez nous pouvons signer un accord de confidentialit\u00e9 tout de suite, celui-ci m’emp\u00eachera l\u00e9galement de divulguer vos probl\u00e8mes\u00bb.
\n\u00abAh oui alors, signons cela, j’aurais l’esprit plus tranquille\u00bb.
\nAussit\u00f4t dit, aussit\u00f4t fait. Et c’est ainsi que j’appris son nom : Arthur Carpendar, DG d’une soci\u00e9t\u00e9 appel\u00e9e LearnMore.
\n\u00abMaintenant que vous vous \u00eates assur\u00e9 de mon silence Monsieur Carpendar, je vous \u00e9coute\u00bb.
\nTandis qu’il rangeait pr\u00e9cieusement sa copie de l’accord de confidentialit\u00e9, il commen\u00e7a \u00e0 parler : \u00abLearnMore est une soci\u00e9t\u00e9 qui propose des formations \u00e0 distance reconnues par l’\u00c9tat. Nous formons nos \u00e9tudiants \u00e0 tout type de m\u00e9tiers, mais nous sommes avant tout pr\u00e9sents dans le m\u00e9dical. Nous nous occupons aussi des plateformes d’apprentissage et d’examens d’une majorit\u00e9 des \u00e9coles d’infirmi\u00e8res du pays\u00bb.
\nPendant que mon client parlait, je prenais rapidement des notes sur l’un des petits carnets \u00e0 spirale qui jonchaient mon bureau. Oui, je sais, le papier c’est d\u00e9pass\u00e9. Mais \u00e9crire m’aide \u00e0 r\u00e9fl\u00e9chir. Et j’aime la sensation de mon stylo qui glisse sur le papier, je trouve \u00e7a \u00e9trangement sensuel.
\n\u00abEt depuis quelques temps, un de nos \u00e9l\u00e8ves a r\u00e9ussi \u00e0 nous pirater. Des dizaines de notes ont \u00e9t\u00e9 chang\u00e9es, plusieurs tests ont vu leurs questions modifi\u00e9es et d’une fa\u00e7on qui nous a ridiculis\u00e9s…\u00bb.
\n\u00abAh bon, que voulez-vous dire par l\u00e0 ?\u00bb.
\n\u00abQue demander \u00e0 des \u00e9l\u00e8ves infirmiers s’il est vrai que le code du travail leur interdit de porter des sous-v\u00eatements sous leur blouse, cela nous ridiculise…\u00bb.
\nComment dans de telles situations, je r\u00e9ussis \u00e0 ne pas rire, parfois je m’impressionne moi-m\u00eame. Cette fois-ci encore je jugulais mon rire et me contentais d’un : \u00abEn effet, ce n’est pas du meilleur effet\u00bb.
\n\u00abNon et cela doit cesser. Il y a quelques mois, nous avons \u00e9t\u00e9 rachet\u00e9s par un grand groupe am\u00e9ricain, le groupe Horizon. Il y a eu, du coup, un nombre important de remaniements dans nos \u00e9quipes, si vous voyez ce que je veux dire. Si l’affaire s’\u00e9bruite, c’est ma t\u00eate qui va tomber\u00bb.
\n\u00abOui, je vois. Je saurais faire preuve de la plus grande discr\u00e9tion. Mais pourquoi pensez-vous que c’est un piratage ? Vous avez des indices ?\u00bb.
\n\u00abEn fait, c’est ce que pense notre ing\u00e9nieur r\u00e9seau, chef de projet. Il y a presque deux ans, nous avons demand\u00e9 \u00e0 une soci\u00e9t\u00e9 de services de faire des modifications profondes dans le code. Notre informaticien pense qu’ils ont fait un travail de mauvaise qualit\u00e9 et ouvert des failles qu’un de nos \u00e9l\u00e8ves a fini par trouver\u00bb.<\/p>\n

Taper sur les soci\u00e9t\u00e9s de services, c’est toujours si pratique. Enfin, il faut bien dire qu’elles le m\u00e9ritent assez souvent. Mais on ne peut pas vendre de la viande et en m\u00eame temps avoir un engagement qualit\u00e9 haut de gamme. Ce n’est que mon avis, mais je ne supporte plus ces garagistes de l’informatique.<\/p>\n

\u00abCe que je vous propose, si vous acceptez mes tarifs, c’est de venir le plus rapidement possible dans vos locaux pour commencer \u00e0 auditer le code de votre applicatif ainsi que votre SI et trouver votre pirate\u00bb.
\nMon presque client me coupa avant que je puisse \u00e9noncer mon prix de journ\u00e9e : \u00abVotre prix sera le mien. Cet apr\u00e8s-midi c’est le mieux si vous \u00eates disponible, je pr\u00e9viendrais les informaticiens\u00bb.
\nJe ravalais pr\u00e9cipitamment le chiffre que j’allais \u00e9noncer et pleine d’aplomb, en croisant les doigts derri\u00e8re mon \u00e9cran, lui assenais le double.
\n\u00abC’est parfait\u00bb, l\u00e2cha-t-il sans m\u00eame fr\u00e9mir.
\nJ’envoyais une petite pri\u00e8re silencieuse au dieu des d\u00e9tectives et tentait un : \u00abEt bien entendu, il me faudrait trois jours d’acompte\u00bb.
\n\u00abBien, je m’en doutais. Casey Pollard m’avait pr\u00e9venu\u00bb.
\nC’est bizarre comme parfois, les mots nous prennent au d\u00e9pourvu. Je fus heureuse d’\u00eatre assise.
\n\u00abPollard vous a parl\u00e9 de moi?\u00bb, demandais-je comme si cela n’avait aucune importance.
\n\u00abOui, je le connais depuis des ann\u00e9es, nous avons des amis communs. Il y a trois ou quatre jours, je lui ai dit que j’avais des probl\u00e8mes informatiques que je voulais r\u00e9gler en toute discr\u00e9tion. Il m’a tendu votre carte en me disant qu’elle serait la solution \u00e0 tous mes probl\u00e8mes. Il a rajout\u00e9 que \u00e7a allait me co\u00fbter cher, mais que le travail serait parfait\u00bb.<\/p>\n

Je bouillais de rage. Il avait m\u00eame mes cartes de visite… Pensait-il que je n’\u00e9tais pas capable de me d\u00e9brouiller seule qu’il me faisait l’aum\u00f4ne des clients ? Je me rendis compte que je venais d’\u00e9gorger violemment une Lucky Strike \u00e0 coup d’ongles rageurs. Et que j’avais loup\u00e9 les derniers mots de mon client.<\/p>\n

\u00ab\u2026 le connaissez ?\u00bb.
\n\u00abAh… C’est une longue histoire, disons que nous avons eu l’occasion de travailler ensemble. Par contre, si vous voulez bien me pardonner, je dois pr\u00e9parer l’entretien de cet apr\u00e8s-midi avec votre \u00e9quipe\u00bb. Se rendit-il compte que je le jetais presque dehors ? Me prit-il pour une autiste d’une impolitesse crasse ? Je dois bien dire que sur le moment, cela m’importait peu. Je voulais juste \u00eatre seule et me vider la t\u00eate avec une bonne session de Team Fortress.<\/p>\n

L’apr\u00e8s-midi \u00e9tait, comme il se doit pour un lundi apr\u00e8s-midi d’hiver, gris et glacial. Apr\u00e8s une vraie croisade \u00e0 travers les transports publics suivie d’une petite marche que l’on pourrait qualifier de revigorante mais que je d\u00e9crirais plut\u00f4t comme frigorifiante, je finis par enfin me retrouver devant les locaux de LearnMore. Pour que vous vous fassiez une id\u00e9e, compar\u00e9 \u00e0 l’immeuble qui me faisait face, les tunnels du m\u00e9tro ressemblaient au pays joyeux de l’\u00eele aux enfants. Je me serais cru dans un mauvais polar. Vous savez ceux o\u00f9 les immeubles sont toujours gris et lugubres, perdus au fond d’une zone industrielle o\u00f9 les seules femmes que l’on croise sont celles qui attendent sur le bord de la route en faisant tourner leur petit sac \u00e0 main. Un vrai clich\u00e9.<\/p>\n

\u00abBonjour, Alana Oscar, Monsieur Carpendar m’attend\u00bb, annon\u00e7ais-je \u00e0 la standardiste en soufflant sur le bout de mes doigts pour les r\u00e9chauffer. J’ai le bout des doigts tr\u00e8s sensibles, je ne supporte pas les gants, je ne peux donc porter que des mitaines. Et de toute fa\u00e7on, cela peut \u00eatre tr\u00e8s sexy les mitaines. En voyant que la standardiste me regardait avec des yeux aussi gros que des assiettes \u00e0 pizza italienne, je me rendis compte que j’avais oubli\u00e9 d’enlever mon bonnet. C’est un cadeau de ma petite ni\u00e8ce. Elle a eu droit \u00e0 un atelier couture pendant ses derni\u00e8res vacances. J’ai donc gagn\u00e9 un gros bonnet en laine, comment dire, arc en ciel. Mais il tient chaud et \u00e7a lui fait plaisir que je le porte. Et puis en y r\u00e9fl\u00e9chissant, il nuit moins \u00e0 ma vie sociale que mon vieux bonnet Domo Kun.
\n\u00abC’est la nouvelle tendance de l’hiver, si vous m’appelez Monsieur Carpendar tout de suite, je vous dirais o\u00f9 vous pouvez l’avoir \u00e0 tout petit prix\u00bb. Elle ne daigna m\u00eame pas me r\u00e9pondre…<\/p>\n

\u00abVous avez raison Mademoiselle, il est ennuyeux qu’il n’y ait pas de logs sur les connexions du VPN, mais ce n’est pas tr\u00e8s grave dans l’affaire qui vous occupe vu que ce n’est pas par ce biais que se connectent les \u00e9l\u00e8ves\u00bb. Cela faisait moins d’une heure que j’\u00e9tais l\u00e0 et j’avais d\u00e9j\u00e0 envie de courir \u00e0 travers les couloirs en hurlant avant d’assommer le responsable r\u00e9seau \u00e0 coup de clavier, voire de l’\u00e9carteler avec des RJ45. Et le fait que ses notions d’anatomie humaine lui fasse croire que les yeux des femmes \u00e9taient \u00e0 hauteur de poitrine, n’aidait pas vraiment non plus.<\/p>\n

\u00abLaissez-moi juge de ce qui est grave ou pas, Monsieur Tave\u00bb. Je remontais mes lunettes d’une petite pichenette avant de continuer. Je ne devrais pas vous le dire, mais ce sont des verres blancs. Une femme informaticienne c’est d\u00e9j\u00e0 suffisamment d\u00e9rangeant, si je ne portais pas de lunettes, je pense que certains de mes interlocuteurs refuseraient de croire que j’existe et me classeraient dans la cat\u00e9gorie cr\u00e9ature mythique et fantasm\u00e9e.<\/p>\n

\u00abSi je r\u00e9capitule, votre applicatif est accessible \u00e0 vos \u00e9l\u00e8ves, par le web, ce qui est normal. C’est la m\u00eame chose pour les professeurs qui ne sont pas des salari\u00e9s LearnMore. Mais aucun log n’est fait de leur activit\u00e9, on sait juste quand ils se connectent et combien de temps. L’acc\u00e8s administrateur de ce m\u00eame applicatif n’est possible que de votre r\u00e9seau d’entreprise, cette limitation \u00e9tant mise en place par de la restriction IP. Mais permettez-moi de vous dire que LearnMore n’a jamais \u00e9t\u00e9 et ne sera jamais un password s\u00e9curis\u00e9. Pour que le tout soit un peu plus piquant, il existe un VPN qui donne acc\u00e8s \u00e0 votre r\u00e9seau d’entreprise, pour vos salari\u00e9s mobiles. Bien entendu, \u00e0 partir de ce VPN on peut se connecter sur votre application, y compris en acc\u00e8s administrateur, mais \u00e7a, apparemment, \u00e7a ne g\u00e8ne personne. Et, histoire d’\u00eatre s\u00fbr de remporter le Darwin Awards des r\u00e9seaux informatiques, il n’y a pas de logs de connexions concernant ce VPN. Rien, nada, nichego, le VPN le plus aveugle que je connaisse. Est-ce que j’oublie quelque chose ?\u00bb<\/p>\n

\u00abC’est que… Je… Je n’\u00e9tais que d\u00e9veloppeur PHP jusqu’il y a peu de temps. Ce n’est que depuis la restructuration que je dois m’occuper du r\u00e9seau aussi. J’ai tout laiss\u00e9 comme c’\u00e9tait avant que l’on vire le responsable\u00bb.<\/p>\n

\u00abJ’ai bien compris monsieur Tave…\u00bb, faire un jeu de mot en lui disant qu’il \u00e9tait un pauvre gus me d\u00e9mangeait depuis qu’il s’\u00e9tait pr\u00e9sent\u00e9, surtout qu’il avait le physique de l’emploi. \u00ab… que vous n’\u00e9tiez pas qualifi\u00e9 pour g\u00e9rer l’infrastructure r\u00e9seau, et que vous n’\u00eates pas le seul \u00e0 bl\u00e2mer… Mais tout de m\u00eame. Vous pensez vraiment que ce n’est pas grave qu’il n’y ait aucun log nulle part ? Vous pensez vraiment qu’il n’est pas important de logguer quand et d’o\u00f9 se connectent ceux qui ont les privil\u00e8ges administrateurs ? Au vu de ce que vous venez de me montrer, les modifications dans vos bases pourraient venir de n’importe o\u00f9 et l’hypoth\u00e8se que vous imaginez, celle de l’\u00e9l\u00e8ve pirate informatique, me semble clairement la moins plausible\u00bb.<\/p>\n

C’est le moment que choisit Carpendar pour intervenir. \u00abMonsieur Tave pensait pourtant que cela ne pouvait provenir que des \u00e9l\u00e8ves, que c’\u00e9tait, comme je vous l’ai dit ce matin, d\u00fb \u00e0 une faille qu’aurait laiss\u00e9 la soci\u00e9t\u00e9 de services qui a travaill\u00e9 sur notre applicatif. Comment pouvez-vous affirmer le contraire sans avoir vu le code source. Et, si ce n’est pas cela, qui a donc pirat\u00e9 nos bases ?\u00bb.
\n\u00abJe parle en terme de plausibilit\u00e9. Vu la qualit\u00e9 de votre s\u00e9curit\u00e9 informatique, je pense que c’est l\u00e0 que ce trouve le point faible. A mon avis, c’est tout simplement un sabotage interne. Quelqu’un qui par exemple n’a pas appr\u00e9ci\u00e9 le rachat de votre soci\u00e9t\u00e9 et qui se connecte soit directement de vos locaux, soit \u00e0 travers le VPN\u00bb.<\/p>\n

Je vis alors clairement que mon hypoth\u00e8se les choquait. L’admin r\u00e9seau surtout, avait l’air catastroph\u00e9. Le pauvre, il devait se dire que tout allait lui retomber dessus. \u00abJe vais tout de m\u00eame auditer le code de votre application, au cas o\u00f9. Mais pendant que je ferrais cela, vous monsieur Tave, vous allez changer les mots de passe de tous vos salari\u00e9s en pr\u00e9textant que le groupe Horizon vous oblige \u00e0 mettre en place une politique de changement de mots de passe forc\u00e9 tous les trimestres. Vous allez \u00e9galement faire en sorte que chaque action faite sur l’applicatif de cours soit logu\u00e9es. Et enfin vous allez activer tous les logs possibles sur le VPN. Et surtout, surtout, vous allez changer le mot de passe du compte admin de votre applicatif. Et c’est moi qui vous donnerait le nouveau mot de passe. Des questions ?\u00bb.
\n\u00abNon Mademoiselle, je vais m’y mettre tout de suite et je vous tiendrais au courant\u00bb.
\n\u00abNon, avant cela, nous allons voir la configuration de votre VPN et d\u00e9finir des zones d’acc\u00e8s en fonction des fonctions des salari\u00e9s. Monsieur Carpendar, nul besoin que vous restiez plus longtemps, cela va devenir technique, je viendrais vous voir pour faire un rapide debriefing avant de repartir, pourriez-vous simplement faire en sorte que je puisse rentrer en taxi apr\u00e8s notre r\u00e9union ?\u00bb.<\/p>\n

Le bureau de Carpendar criait que celui-ci avait plus d’\u00e9go qu’un jeune dipl\u00f4m\u00e9 de l’ENA. Des reproductions de tableaux que je trouvais moches \u00e0 souhait, mais qui devaient \u00eatre la derni\u00e8re mode c\u00f4toyait des photos de lui lors de grandes occasions. Au centre, tr\u00f4nait un lourd bureau tr\u00e8s Renaissance, un bureau de Pr\u00e9sident, tout \u00e0 fait la sorte de bureau qui vous dit quand vous le voyez ”celui qui s’assoit ici est important, pour de vrai, tu devrais \u00eatre heureuse de simplement avoir le droit de pouvoir lui adresser la parole”. Tout cela me fit sourire. Les DG, d\u00e9cid\u00e9ment, tous les m\u00eames.<\/p>\n

\u00abJe ne vous cacherais pas que votre politique de s\u00e9curit\u00e9 est d\u00e9plorable. Je suis presque \u00e9tonn\u00e9e que vous n’ayez pas eu de probl\u00e8mes plus t\u00f4t. Nous avons, avec Monsieur Tave, mis en place, une configuration un peu plus \u00e9toff\u00e9e du VPN, en limitant autant que possible les acc\u00e8s. Avec les logs que l’on a rajout\u00e9 un peu partout, nous devrions pouvoir y voir plus clair. Le risque principal, maintenant, c’est que votre pirate, si c’est un salari\u00e9 interne prenne peur du fait du changement de mot de passe et arr\u00eate tout. De mon cot\u00e9 je vais auditer le code de votre application et je reviens vous voir dans une semaine, plus t\u00f4t si vous d\u00e9tectez une activit\u00e9 suspecte\u00bb.<\/p>\n","protected":false},"excerpt":{"rendered":"

Bon, ben voil\u00e0, apr\u00e8s quelques semaine d’attente, et malgr\u00e9 les multiples obstacles que j’ai du surmonter, voici le nouveau chapitre de mon polar geek, qui du coup, gagne un titre un peu moins g\u00e9n\u00e9rique que Polar Geek. Un remerciement tout sp\u00e9cial \u00e0 ma ch\u00e8re et tendre qui a h\u00e9rit\u00e9 du travail de relecture. Et au … Continue reading Piratage en blouse blanche (\u00e9pisode 2)<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":false,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[49,50],"tags":[51,52],"class_list":["post-441","post","type-post","status-publish","format-standard","hentry","category-histoires-et-ecrits","category-polar-geek","tag-polargeek","tag-recits"],"aioseo_notices":[],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"","jetpack_shortlink":"https:\/\/wp.me\/p12cdp-77","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/j-mad.com\/blog\/wp-json\/wp\/v2\/posts\/441","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/j-mad.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/j-mad.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/j-mad.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/j-mad.com\/blog\/wp-json\/wp\/v2\/comments?post=441"}],"version-history":[{"count":25,"href":"https:\/\/j-mad.com\/blog\/wp-json\/wp\/v2\/posts\/441\/revisions"}],"predecessor-version":[{"id":463,"href":"https:\/\/j-mad.com\/blog\/wp-json\/wp\/v2\/posts\/441\/revisions\/463"}],"wp:attachment":[{"href":"https:\/\/j-mad.com\/blog\/wp-json\/wp\/v2\/media?parent=441"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/j-mad.com\/blog\/wp-json\/wp\/v2\/categories?post=441"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/j-mad.com\/blog\/wp-json\/wp\/v2\/tags?post=441"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}