[quote]il me faudrait des exemples concrets (voir tres concrets) de ce qui pourrait leur arrivé et comment les agresseurs y parviendraient[/quote]Commençons doucement alors
Problème d’authentification majeur, car on ne sait pas qui est en face. C’est comme si on parlait à quelqu’un via synthétiseur de voix interposé !!! Et regarde ce qu’on peut en faire :
« Jean-Paul en a marre de cette pute de Béa qui fait la grande gueule en réunion. Du coup, il profite d’un moment d’absence temporaire de Béa (heures du déjeuner, les W-C,…) et désinstalle son antivirus avant de véroler ses fichiers !!! Bââââm, pauvre Béatrice, qui n’y peut rien. Elle se fait démonter pour avoir désinstaller son antivirus et ne peut rien dire. Néanmoins elle a un doute et à voir le sourire qu’affiche J-P, elle finit par comprendre que c’est cet enculé qui l’a eue !
Ni une, ni deux, elle décide qu’elle doit sévir : elle attend alors que J-P s’absente rapidement et envoie une liste de site porno en se faisant passer pour lui à tout le bureau. Sa complice Jeanne est là pour empêcher J-P de revenir avant 3 minutes en prétextant n’importe quoi//entamant la discussion près de la machine à café… Bien sûr à la réunion de crise qui ne va pas manquer d’arriver il suffira de glisser discrètement l’idée que J-P a très bien pu se planter de mailing list… Hop baisé l’avancement de J-P de cette année, et une belle tache (nan nan pas ce que vous croyez) dans son dossier. »
Cette petite histoire est très conne. Là il s’agit de vengeance flagrante mais on peut être beaucoup plus insidieux en falsifiant discrètement tous les documents de son collègue pendant des mois avant de mettre en doute son intégrité discrètement…
Tout ça pourquoi, parce que on ne sait pas qui est derrière l’ordi. En mettant en place un moyen d’authentification par mot de passe, en regardant par exemple les logs, on saura qu’untel n’était pas logué !!! De plus on limite l’accès aux fichiers autorisés, on contrôle vaguement les horaires et la présence. On met bien évidemment une déco automatique… Bref le B-A-BA.
Là l’histoire se passe au niveau interne, mais si l’accès physique aux machines n’est pas protégé (en gros si on peut rentrer tranquillement dans le bureau) comme dans la plupart des bureaux de l’administration (le réparateur COMPAQ, le cousin de machin, le neveu d’untel…), ça ouvre des portes béantes dans la sécurité… Hors si on est quasiment assuré qu’il faut quelqu’un dans les parages pour qu’une session soit ouverte (avec un temps de déco assez court), on évite déjà pas mal d’attaques. C’est très contraignant, mais il suffit de lui faire comprendre la quantité d’argent en jeu. Demande-lui de calculer le risque qu’une personne mette par exemple une bombe logique qui formate tous les PC du bureau, sachant la facilité d’accès au « réseau ». Effectivement, si les sauvegardes sont récentes, on ne perd pas de données, mais on perd combien d’hommes/jour à remettre ton super système informatique sur les rails… Un ex-employé mécontent vient récupérer des affaires et en profite pour mettre en place une bombe à retardement qui se déclenchera au bout de 123 jours, un anarchiste en a marre du capitalisme et décide de s’en prendre au CCI, un gamin vient voir Papa au boulot et a bien envie d’essayer ce logiciel qu’il a trouvé sur Internet, ou que sais-je encore. Bref c’est un peu n’importe quoi de laisser le réseau à ce point ouvert…
Bien sûr comme tout ce qui touche à la sécurité, il faut sensibiliser les employés pour qu’ils évitent de mettre un post-it sur l’écran avec tous les mots de passe (qui doivent être assez complexes, avoir une date d’expiration,…), les habituer à passer en écran de veille lorsqu’ils doivent s’absenter rapidement…
Voilà voilà, déjà avec ça il devrait être calmé Sinon, reviens-nous voir, j’aime bien raconte des histoires qui font peur :pleure:
[Edit]
Vu la longueur du post, j’ai mis l’histoire en italique pour la faire ressortir.
[Edité le 26/12/2002 par xentyr]