ADSL-BC

[alct]

Depuis quand on donne comme destination aux dumps des répertoires public?

c'est vraiment une grosse erreur de débutant.

A mon avis les raisons:

1. Quand on veut exporter un dump de DB c'est en général plus facile d'exporter le fichier sur le même serveur. (moins de restrictions, pb de droits)
2. On veut faire vite
3. Les employés n'avaient probablement pas conscience que le contenu du répertoire était listé
4. Et surtout: le fichier n'était sans doute pas censé rester longtemps: juste qq minutes, le temps de la manip

Je crois à une explication comme ca. Le but était de mettre le fichier à disposition d'un contractant externe qui devait faire le e-mailing. Comme on envoie pas facilement 180Mb par e-mail, si on est pressé par le temps, c'était une "solution" que de le mettre dans un répertoire public, et de l'effacer par après.

On sait tous ici que c'est n'est pas une solution, ni a moitié, ni partielle, ni ultra-temporaire, ce n'est pas une solution du tout.

Concernant le temps nécessaire et la complexité relative à la mise en place d'un dispositif sécurisé de partage d'un tel fichier - sachant qu'ils utilisent Linux : ça prend 5 minutes au plus.

- ajouter un nouvel utilisateur sur le serveur ;
- le chrooter dans sa home + dummyshell ;
- copier la bdd dans sa home ;
- monitorer le téléchargement ;
- (quand le fichier est récupéré via scp) supprimer l'utilisateur.

Ne tentons pas du justifier l'injustifiable : il n'y a pas « mauvais bouton », il y a de bonnes ou de mauvaises pratiques en matière de sécurité.

André Loconte
http://nurpa.be

[patrix]

Concernant le temps nécessaire et la complexité relative à la mise en place d'un dispositif sécurisé de partage d'un tel fichier - sachant qu'ils utilisent Linux : ça prend 5 minutes au plus.

Ne tentons pas du justifier l'injustifiable : il n'y a pas « mauvais bouton », il y a de bonnes ou de mauvaises pratiques en matière de sécurité.

Tout à fait d'accord que la sécurité ne peut pas être négligée. J'ai plus de doutes sur les "ça prend 5 minutes". Dans une grosse boîte, le gestionnaire de la DB n'est pas forcément le webmaster, ni le security officer et encore moins le root du système. Dans ma boîte, ca prendrait 24 heures au moins pour obtenir l'approbation et l'exécution. La sécurité, ca a aussi un coût en termes de temps, alors que le chef dit d'envoyer ce fichier dans l'heure.
Cela dit, ca ne colle pas avec les explications données par la SNCB, pour autant qu'on puisse les croire.

[clear.be]

Concernant le temps nécessaire et la complexité relative à la mise en place d'un dispositif sécurisé de partage d'un tel fichier - sachant qu'ils utilisent Linux : ça prend 5 minutes au plus.

Ne tentons pas du justifier l'injustifiable : il n'y a pas « mauvais bouton », il y a de bonnes ou de mauvaises pratiques en matière de sécurité.

Tout à fait d'accord que la sécurité ne peut pas être négligée. J'ai plus de doutes sur les "ça prend 5 minutes". Dans une grosse boîte, le gestionnaire de la DB n'est pas forcément le webmaster, ni le security officer et encore moins le root du système. Dans ma boîte, ca prendrait 24 heures au moins pour obtenir l'approbation et l'exécution. La sécurité, ca a aussi un coût en termes de temps, alors que le chef dit d'envoyer ce fichier dans l'heure.
Cela dit, ca ne colle pas avec les explications données par la SNCB, pour autant qu'on puisse les croire.

La personne qui a déposé ce fichier là devait avoir suffisamment de droits sur la DB et le serveur pour faire quelque chose de plus sécurisé. Ne cherchons pas d'excuse à la noix, ce type a voulu faire vite, et a merdé...

Ou alors, par exemple, ça aurait peut-être pas été infaillible, mais bêtement faire un 7zip avec password, ça aurait au moins permis de pas indexer le contenu de un, et aurait peut-être empêcher l'accès à ces données au prmier quidam qui passait par là.

[solar10]

ça prend 5 minutes au plus.

- ajouter un nouvel utilisateur sur le serveur ;

Bisounours va! On voit que tu bosses pas en entreprise toi. Tu penses qu'on crée des utilisateurs en claquant des doigts ?

[clear.be]

ça prend 5 minutes au plus.

- ajouter un nouvel utilisateur sur le serveur ;

Bisounours va! On voit que tu bosses pas en entreprise toi. Tu penses qu'on crée des utilisateurs en claquant des doigts ?

Utilisateurs ou pas, droits ou pas, il y avait 36 manière de faire plus sécurisé...

Simplement le fait d'oublier d'effacer le fichier une fois le transfert effectué, c'est une bourde phénoménale...

Je pense que quiconque a une notion de la sécurité des données informatiques, n'aurait jamais procédé de la sorte.

C'est surtout ça qui est grave !!

Quelles sont les compétences des gens qui gèrent ces données ??? A SNCB Europe apparemment, les compétences sont nulles...

[Keeper]

on voit surtout que la confidentialité des donnés c'est une culture et que malheureusement c'est vraiment loin d'être le cas dans la majorités des sociétés qui ont ou font de l'informatique.
Au final, il n'y a que quand on t'as bien inculqué que si des données s'échappent par ta faute t'es à la porte que l'idée commence à rentrer

[clear.be]

Au final, il n'y a que quand on t'as bien inculqué que si des données s'échappent par ta faute t'es à la porte que l'idée commence à rentrer

Le pire est, à ce que j'ai entendu, que la faute de cette histoire est considérée comme "involontaire" est que donc, il n'y aura AUCUNE sanction...

C'est kafkaïen...

[solar10]

ça prend 5 minutes au plus.

- ajouter un nouvel utilisateur sur le serveur ;

Bisounours va! On voit que tu bosses pas en entreprise toi. Tu penses qu'on crée des utilisateurs en claquant des doigts ?

Utilisateurs ou pas, droits ou pas, il y avait 36 manière de faire plus sécurisé...

Simplement le fait d'oublier d'effacer le fichier une fois le transfert effectué, c'est une bourde phénoménale...

Je pense que quiconque a une notion de la sécurité des données informatiques, n'aurait jamais procédé de la sorte.

C'est surtout ça qui est grave !!

Quelles sont les compétences des gens qui gèrent ces données ??? A SNCB Europe apparemment, les compétences sont nulles...

L'audit nous le dira !

[comex]

Ils doivent sans doute sous-traiter un max à la sncb.
Cà tombe, c'est un offshore qui a fait le boulot.

[Dindon]

beaucoup moins gros et moins grave; histoire personnelle:

Je ne citerai pas en public le site en question.
J'ai demandé une assistance pour un update de mon profil sur un site; un gros site Belge.

Le call center a réussi à me renvoyer mon mot de passe en clair dans un mail en réponse à ma demande....
ma question relevait seulement du comment faire; Je n'avais aucun problème d'accès.
ils m'ont avoués que le call center avait un accès aux mots de passe des clients, et que les mots de passe n'était apparemment pas hashés sans la DB.....

[alct]

J'ai plus de doutes sur les "ça prend 5 minutes". Dans une grosse boîte, le gestionnaire de la DB n'est pas forcément le webmaster, ni le security officer et encore moins le root du système. Dans ma boîte, ca prendrait 24 heures au moins pour obtenir l'approbation et l'exécution. La sécurité, ca a aussi un coût en termes de temps, alors que le chef dit d'envoyer ce fichier dans l'heure.

Comme tu le soulignes judicieusement, un tel transfert de données doit impliquer le security officer et dans le cas présent, soit cela n'a pas été fait, soit ça a été fait et la personne responsable du transfert n'a pas respecté les instructions, soit ça a été fait et le security officer a approuvé la méthode de transfert.

On peut formuler milles hypothèse quant au contexte dans lequel ça s'est produit : l'urgence du transfert, l'existence d'autres tâches prioritaires à gérer,... Le fait est que si le security officer demande qu'un tel dispositif soit mis en place, techniquement, il ne faut pas plus de 5 minutes à la personne avec les droits nécessaire pour le faire (en pratique, ça dépend évidemment des disponibilités de chacun).

La personne qui a déposé ce fichier là devait avoir suffisamment de droits sur la DB et le serveur pour faire quelque chose de plus sécurisé.

Utilisateurs ou pas, droits ou pas, il y avait 36 manière de faire plus sécurisé... Simplement le fait d'oublier d'effacer le fichier une fois le transfert effectué, c'est une bourde phénoménale.

Voilà. Toutes considérations sur les droits de création d'utilisateurs gardées, s'il avait les droits suffisants pour déplacer le fichier dans un répertoire public, il avait les droits nécessaire pour créer un ".htaccess" ou un simple "index.html".

ça prend 5 minutes au plus.
- ajouter un nouvel utilisateur sur le serveur ;

Bisounours va! On voit que tu bosses pas en entreprise toi. Tu penses qu'on crée des utilisateurs en claquant des doigts ?

Je te remercie mais je suis davantage adepte des Teletubies. On accède pas plus à une telle base de donnée en claquant des doigts (ou des talons). Voir le commentaire plus haut.

Edit :

Ils doivent sans doute sous-traiter un max à la sncb.
Cà tombe, c'est un offshore qui a fait le boulot.

Même dans le cas d'une sous-traitance, la responsabilité de la SNCB Europe est engagée (sauf si le contrat prévoit explicitement une délégation de responsabilité mais c'est extrêmement rare).

[Ravke]

aucune explication ne justifiera pourquoi cette base de données était non protégé et disponible sur un espace accessible au public. Et comme on dit, la meilleure sécurité pour une base de données est qu'elle soit offline.

D’ailleurs, j'ai lu que le fichier se nommait emailvision, je suppose que ce fichier était donc destiné pour un service marketing?

[patrix]

J'ai fait un nouveau billet sur le sujet, cette fois sur l'aspect "communication" de la SNCB. J'arrive à la conclusion que l'amateurisme affiché était, en fait, habilement calculé. Mais bon,ça n'est jamais qu'une opinion parmi d'autres.

http://patrick.vande-walle.eu/belgium/s ... st-payant/

[torentbit]

Ils doivent sans doute sous-traiter un max à la sncb.
Cà tombe, c'est un offshore qui a fait le boulot.

http://www.b-holding.be/fr/notre-entreprise/ictra
c'est presque uniquement des consultants

mais le pire c'est que Infrabel et sncb ont aussi leurs services IT concurent qui sont aussi essenciellement des externes

dans le bâtiment Philippe rue des 2 gares
http://www.syntigo.com/fr/

[NPierard]

Chers internautes,

Vous n'êtes pas sans savoir qu'un fichier de clients de SNCB Europe a été divulgué, sur votre forum notamment il y a deux semaines. Tout en reconnaissant qu'une erreur humaine interne involontaire en était l'origine, SNCB Europe tient à rappeler à toutes les personnes qui seraient en possession de ce fichier que sa conservation et/ou toute autre utilisation qui en serait faite, même en l'absence d'intention malveillante, sont illégales et passibles de poursuites judiciaires. De ce fait, nous les prions de bien vouloir supprimer dès à présent ledit fichier. SNCB Europe tient à nouveau à présenter ses excuses auprès de ses clients et promet de tout mettre en oeuvre pour qu'un tel incident ne se produise plus à l'avenir.

SNCB Europe

[clear.be]

Chers internautes,

Vous n'êtes pas sans savoir qu'un fichier de clients de SNCB Europe a été divulgué, sur votre forum notamment il y a deux semaines. Tout en reconnaissant qu'une erreur humaine interne involontaire en était l'origine, SNCB Europe tient à rappeler à toutes les personnes qui seraient en possession de ce fichier que sa conservation et/ou toute autre utilisation qui en serait faite, même en l'absence d'intention malveillante, sont illégales et passibles de poursuites judiciaires. De ce fait, nous les prions de bien vouloir supprimer dès à présent ledit fichier. SNCB Europe tient à nouveau à présenter ses excuses auprès de ses clients et promet de tout mettre en oeuvre pour qu'un tel incident ne se produise plus à l'avenir.

SNCB Europe

Allé santé hein

Bonne chance pour la suite !

[Captain Rhubarb]

Chers internautes,

Vous n'êtes pas sans savoir qu'un fichier de clients de SNCB Europe a été divulgué, sur votre forum notamment il y a deux semaines. Tout en reconnaissant qu'une erreur humaine interne involontaire en était l'origine, SNCB Europe tient à rappeler à toutes les personnes qui seraient en possession de ce fichier que sa conservation et/ou toute autre utilisation qui en serait faite, même en l'absence d'intention malveillante, sont illégales et passibles de poursuites judiciaires. De ce fait, nous les prions de bien vouloir supprimer dès à présent ledit fichier. SNCB Europe tient à nouveau à présenter ses excuses auprès de ses clients et promet de tout mettre en oeuvre pour qu'un tel incident ne se produise plus à l'avenir.

SNCB Europe

quel culot

[William_Kramps]

Chers internautes,

Vous n'êtes pas sans savoir qu'un fichier de clients de SNCB Europe a été divulgué, sur votre forum notamment il y a deux semaines. Tout en reconnaissant qu'une erreur humaine interne involontaire en était l'origine, SNCB Europe tient à rappeler à toutes les personnes qui seraient en possession de ce fichier que sa conservation et/ou toute autre utilisation qui en serait faite, même en l'absence d'intention malveillante, sont illégales et passibles de poursuites judiciaires. De ce fait, nous les prions de bien vouloir supprimer dès à présent ledit fichier. SNCB Europe tient à nouveau à présenter ses excuses auprès de ses clients et promet de tout mettre en oeuvre pour qu'un tel incident ne se produise plus à l'avenir.

SNCB Europe

Ahahah. What a joke !!

[snakeseater]

Chers internautes,

Vous n'êtes pas sans savoir qu'un fichier de clients de SNCB Europe a été divulgué, sur votre forum notamment il y a deux semaines. Tout en reconnaissant qu'une erreur humaine interne involontaire en était l'origine, SNCB Europe tient à rappeler à toutes les personnes qui seraient en possession de ce fichier que sa conservation et/ou toute autre utilisation qui en serait faite, même en l'absence d'intention malveillante, sont illégales et passibles de poursuites judiciaires. De ce fait, nous les prions de bien vouloir supprimer dès à présent ledit fichier. SNCB Europe tient à nouveau à présenter ses excuses auprès de ses clients et promet de tout mettre en oeuvre pour qu'un tel incident ne se produise plus à l'avenir.

SNCB Europe

"erreur humaine interne involontaire"
Elle était volontaire l'erreur humaine, faut arrêter de dire le contraire.
Quand on a une DB aussi grosse on la stocke pas n'importe où en clair, surtout pas sur un serveur web. N'importe quel demeuré n'y connaissant rien en informatique saurais ça.

[Captain Rhubarb]

Chers internautes,

Vous n'êtes pas sans savoir qu'un fichier de clients de SNCB Europe a été divulgué, sur votre forum notamment il y a deux semaines. Tout en reconnaissant qu'une erreur humaine interne involontaire en était l'origine, SNCB Europe tient à rappeler à toutes les personnes qui seraient en possession de ce fichier que sa conservation et/ou toute autre utilisation qui en serait faite, même en l'absence d'intention malveillante, sont illégales et passibles de poursuites judiciaires. De ce fait, nous les prions de bien vouloir supprimer dès à présent ledit fichier. SNCB Europe tient à nouveau à présenter ses excuses auprès de ses clients et promet de tout mettre en oeuvre pour qu'un tel incident ne se produise plus à l'avenir.

SNCB Europe