PEBKAC #6646

Lorsque j'étais encore étudiant en DUT, je suis allé travailler avec des amis dans une petite salle. L'un d'eux devait finir son TP sur les bases de données.

Je lui indique qu'il a besoin du pilote JDBC, qui se trouve dans le répertoire personnel de l'enseignant. Il commence à fouiller un peu partout, et nous lance tout à coup : « Hé les gars, j'ai trouvé la liste des mots de passe ! ».
Très sceptiques au début (nous sommes tout de même dans un IUT Informatique), nous découvrons effectivement un fichier OpenOffice Calc contenant les identifiants et mots de passe de tous les étudiants du cursus informatique, ainsi que de tous les enseignants. PEBKAC.

PEBKAC #6646 proposé par Noname le 10/01/2013 | 32 commentaires | 👍🏽 👎🏽 +308

malheureusement courant dans l'éducation nationale. Tiens ca me rappele un truc, je vais poster tout de suite

Commentaire #73032 écrit par achille le 10/01/2013 à 17h35 | 👍🏽 👎🏽

Je me rapelle en L3, pareil... mais y avait le login / mot de passe root de l'administrateur dedans en plus!

Commentaire #73033 écrit par dka le 10/01/2013 à 17h39 | 👍🏽 👎🏽

OpenOffice est bien un pare-feu, pourquoi pas un coffre-fort :D

(voui, facile et éculé)

Commentaire #73046 écrit par pTree le 10/01/2013 à 18h03 | 👍🏽 👎🏽

C'était quoi le mot de passe? root ou admin?

Commentaire #73047 écrit par Link le 10/01/2013 à 18h04 | 👍🏽 👎🏽

Vous avez le droit de vous balader tranquillement dans les répertoires des enseignants x) ? Ca aussi ça serait un pebkac...

Commentaire #73051 écrit par D le 10/01/2013 à 18h08 | 👍🏽 👎🏽

Je ne saisis pas la blague...

Commentaire #73052 écrit par Christine A. le 10/01/2013 à 18h09 | 👍🏽 👎🏽

On sait bien que les "suites de sécurité" sont toujours de plus en plus usine à gaz complètes

Commentaire #73054 écrit par pTree le 10/01/2013 à 18h13 | 👍🏽 👎🏽

Voui, c'est ce que je me disais aussi...

Commentaire #73059 écrit par Morrock le 10/01/2013 à 18h24 | 👍🏽 👎🏽

Elle a été affichée en début d'année, je suppose ? :3

Commentaire #73061 écrit par Kom.ic le 10/01/2013 à 18h34 | 👍🏽 👎🏽

Ca me rappelle quand j'étais au lycée et qu'un ami avait découvert par hasard que le mot de passe de l'administrateur du réseau (accessoirement prof d'informatique) était le nom de la ville dans laquelle se situait le dit lycée...

Commentaire #73062 écrit par triman le 10/01/2013 à 18h34 | 👍🏽 👎🏽

Et moi, il n'y avait pas de mot de passe. Il fallait ne rien rentrer du tout pour se connecter en admin.

Commentaire #73066 écrit par Banon le 10/01/2013 à 18h44 | 👍🏽 👎🏽

En DUT, on avait deviné le mot de masse d'un prof. Et les sessions des profs voient tous les partages, notamment les corrigés de projets.

Commentaire #73069 écrit par Bourriks le 10/01/2013 à 19h05 | 👍🏽 👎🏽

Nous c'était bien sécurisé, ils savaient ce qu'ils faisaient (plus que dans mon école d'ingé actuelle j'oserais même dire).

Comme d'hab dans les DUT, y a vraiment de tout.

PS : Si tu changeais ton mot de passe ? (Recommandé à la distribution), le fichier n'était plus à jour ?

Commentaire #73071 écrit par X3N le 10/01/2013 à 19h10 | 👍🏽 👎🏽

A la fac on était en NFS3, facile à monter du coup. Valait mieux ne pas laisser trainer de corrigés.
Pour les non initié : brancher son ordi -> mount -t nfs server:/home /tmp/hack, reglage de l'uid désiré et voilà.

ps : le driver c'est JDBC.

Commentaire #73078 écrit par but2ene le 10/01/2013 à 19h48 | 👍🏽 👎🏽

Question de configuration de droits : Par exemple,un de nos profs(licence 3 info) a l'habitude de stocker les exécutables des applications qu'on utilise dans son dossier, et nous indique le chemin pour y aller (applications disponibles sur le net au passage, bref), et c'est pas pour autant que je peux mettre le boxon dans son dossier! (ou alors la faille n'est pas évidente)

Bref, pour résumer : Tant que les accès sont uniquement en lecture vers des documents non sensibles... (peut-être avec exécution également, mais même sans, il suffirait d'un c/c vers mon dossier par exemple)

Commentaire #73079 écrit par Sonny le 10/01/2013 à 19h49 | 👍🏽 👎🏽

Tu as fait une faute. On écrit "pot de masse".

Commentaire #73081 écrit par Mike le 10/01/2013 à 19h54 | 👍🏽 👎🏽

Dans le genre avant la rentrée en seconde année j'avais pu récupérer la répartition des élèves dans les classes. :p

Commentaire #73083 écrit par mAn le 10/01/2013 à 20h17 | 👍🏽 👎🏽

Je penche pour azerty.

Commentaire #73086 écrit par Banon le 10/01/2013 à 20h35 | 👍🏽 👎🏽

C'est le cas : on avait les droits en lecture et d'ouverture mais pas en écriture, juste ce qu'il faut pour copier des données depuis son répertoire. Après il faut pas stocker n'importe quoi n'importe où ...
Ça n'a pas eu de répercussions car une âme charitable a décidé de le signaler immédiatement à l'admin.

Commentaire #73103 écrit par Noname le 10/01/2013 à 21h09 | 👍🏽 👎🏽

Je suis le seul qui a vu JBDC au lieu de JDBC ?

Commentaire #73105 écrit par juu le 10/01/2013 à 21h14 | 👍🏽 👎🏽

1a2z3e4r5t6y

Commentaire #73115 écrit par dka le 10/01/2013 à 23h18 | 👍🏽 👎🏽

et le mec qui le hurle sur tous les toits.. il est pas un peu con?

dans les colleges/lycees, pour ceux qui utilisent iaca, ya un fichier du genre (sans les passwords :p) qui permet notamment de connaitre le noms de chaque user, son groupe, etc.. utile pour les prénoms des profs ;)

Commentaire #73127 écrit par abc le 11/01/2013 à 02h50 | 👍🏽 👎🏽

Sauf si c'est stocké en clair dans la base...

Commentaire #73137 écrit par Mat+1 le 11/01/2013 à 09h01 | 👍🏽 👎🏽

Y a pas genre des ACL pour NFS ? (vraie question, j'ai très peu utilisé NFS et il y a longtemps maintenant)

Commentaire #73138 écrit par Mat+1 le 11/01/2013 à 09h03 | 👍🏽 👎🏽

Bien vu, j'ai corrigé cette coquille.

Commentaire #73143 écrit par Clem le 11/01/2013 à 09h12 | 👍🏽 👎🏽

Ben pour les versions 1 à 3 l'ACL, se faisait par le UID et le GUID que tu envoyais. Changer un UID est facile sur ta propre machine. Aucune réelle authentification de l'utilisateur ou de la machine et aucune cryptographie. Une solution était de l'encapsuler dans ssh. Mais cela n'a pas été fait à mon époque.

Pour le 4 t'as la possibilité d'utiliser kerberos. Tu t'authentifies pour une session avec un ticket et ta connexion est chiffrée.

Commentaire #73145 écrit par but2ene le 11/01/2013 à 09h16 | 👍🏽 👎🏽

Non t'es le seul à ne pas lire les commentaires au dessus ;)

Edit : ne te prends pas la tête, je plaisante :) (je ne viens pas ici pour être sérieux ;-) )

Commentaire #73146 écrit par but2ene le 11/01/2013 à 09h17 | 👍🏽 👎🏽

Ah en fait but2ene l'avait dit avant, un peu plus haut :-)

Sinon, le fait que mon commentaire soit passé en attente de modération c'est à cause des mots en capital ? Etrange tout ça...

Edit: je viens de poster sans voir ton com de 9h17. En fait j'ai vu ton com hier 2 secondes après avoir validé le mien, mais je ne pouvais pas éditer car il devait être valider...

Commentaire #73147 écrit par juu le 11/01/2013 à 09h18 | 👍🏽 👎🏽

Merci, j'aurai encore appris un truc aujourd'hui !

Commentaire #73162 écrit par Mat+1 le 11/01/2013 à 10h26 | 👍🏽 👎🏽

Autant pour moi, la honte me submerge (T_T)

Commentaire #73205 écrit par Noname le 11/01/2013 à 13h05 | 👍🏽 👎🏽

Yep, @abc a raison enfin dans mon lycée les session professeurs ont un logiciel qui permet de gérer toutes le sessions, log, espionnage en temps réel... Et changement de mdp, (pratique quand la prof va faire de photocopies) mais ce "pouvoir" ce limite au élèves pas moyens de toucher aux autre profs.

Commentaire #73387 écrit par Exlycen le 12/01/2013 à 07h44 | 👍🏽 👎🏽

"Très sceptiques au début (nous sommes tout de même dans un IUT Informatique)"

Haha alors à force de lire PEBKAC.fr, ça m'apparait justement comme une raison de croire ton ami sans douter une seconde.

Commentaire #73447 écrit par Hart le 12/01/2013 à 18h42 | 👍🏽 👎🏽