On t'avait dit de ne pas travailler avec Madoff !

Ça va, c'est pas comme si ils jouaient avec l'économie mondiale et avec le pognon des autres... Oh wait !

Commence a etre un peu saoulant d entendre parler de câble wifi pifenmoins patron Madoff a chaque histoire.
Faut un peu savoir se renouveller

J'ai vu ça partout ou je suis passé, y compris dans l'industrie. Quand les gens se mettent à bosser, RIEN ne doit se mettre en travers de leur boulot. Surtout pas la sécurité.

J'ai vu des gens manipuler des produits dangereux sans protection, parceque la prodection réduisait leur efficacité. J'ai vu des gens retirer le caopt anti-bruit de machines industrielles, parceque le bruit leur permettait d'anticiper les problèmes et d'avoir moins de casse.

Dans un environnement de bureau, ça donne, "J'ai telle chose à faire. J'ai demandé un mot de passe, mais la validation est dans le zag. Mon collègue a le mot de passe. Je DOIS bosser. Donc je prends son mot de passe."

C'est le comportement normal du travailleur normal. Une bonne démarche sécurité, c'est de permettre au travailleur qui a besoin d'un accès de l'avoir. Vite. très vite. Sinon la sécurité sera ignorée. Pareil dans l'industrie. La sécurité, la vraie, a consisté à trouver un solvant qui fasse le boulot sans danger pour le manipulateur(et il n'était même pas plus cher). Ou à adapter les capots pour que le bruit normal soit atténué, mais pas celui des incidents.

Aussi longtemps que la sécurité sera pensée "tu dois faire des efforts, et te conformer au petit manuel, et on s'en branle si ça ralentit ton boulot, ne serait-ce que d'une seconde", elle sera un voeu pieux. Le vrai PEBKAC, c'est de ne pas donner à ce travailleur l'accès dont il a manifestement besoin, donnant ainsi l'habitude à tout le plateau de contourner les règles de sécurité. Et aussi de taper sur le lampiste, plutôt que sur le process de distribution des habilitations.

Oui et non, là il s'agit d'une sécurité humaine, c'est-à-dire qu'il faut que l'action de l'utilisateur A soit validée par l'utilisateur B.
C'est comme si tu nous dis que c'est très ch... de devoir attendre la seconde clé pour déclencher un tir nucléaire : c'est pas un problème, c'est l'objectif même des deux clés.

Pendant ma formation d'info on a eu un intervenant qui faisait des audits de sécurité. Il nous a raconté un audit un peu dans le même genre.
Il avait rendez-vous, genre à 9h, il est arrivé à 7h, a pu rentré où il voulait et tout.
A 9h son rendez-vous est arrivé:
- "Bon, par où on commence?"
- "Bah moi j'ai finis, ça fait 2h que je suis là, j'ai eu accès à tout ce que je voulais. Je vous envois mon rapport."

Un autre gros problème de sécurité dans les entreprises, c'est la formation des secrétaires qui laissent rentrer n'importe qui et qui donnent plein d'infos à n'importe qui au téléphone sans s'en rendre compte.

C'est comme pour tous les audits prévus à l'avance, si on a le temps de se préparer et montrer des trucs qui n'ont rien à voir avec la réalité, le résultat est plus que faussé...

"Le vrai PEBKAC, c'est de ne pas donner à ce travailleur l'accès dont il a manifestement besoin, donnant ainsi l'habitude à tout le plateau de contourner les règles de sécurité."

Non. Le principe même du contrôle que le collaborateur essaie de contourner en utilisant le mot de passe de son voisin est de JUSTEMENT impliquer plusieurs personnes dans le processus (= séparation des tâches). Si une seule personne arrive par exemple à saisir une sortie de fonds (préparer le paiement) puis la valider directement (le paiement sera lancé), je te laisse imaginer les risques de fraude / d'erreur de saisie...

@El_Slapper : Dans ce cas, on en reparle quand ta banque aura fermé et que t'auras perdu les économies d'une vie à cause de PEBKAC dans ce genre ?

Madoff, on en parle pas trop souvent, quand même. Non ? Du coup je me demande si le «Commence à être soulant...» ne commence pas à être soulant... Euh, bon, je sors...

Je trouve que El_Slapper a raison, d'ailleurs je compte me présenter aux prochaines élections présidentielles avec un programme simple: faire en sorte qu'une seule personne puisse écrire la loi, arrêter les gens et les juger.
Comme ça n'importe quel policier pourra arrêter qui il veut pour n'importe quelle raison et le condamner sans avoir à s'embêter à vérifier ce qui est écrit dans le code civil et sans perdre du temps avec un procès.

Je me demande pourquoi personne n'y a pensé plus tôt!

Montesquieu se retournerait dans sa tombe ^^.

Juge Dredd :)

Y'a que l'alcool qui est soulant !

D'accord avec le poney!
D'ailleurs il faudrait aussi que tout le monde change de pseudo/image de profil au moins une fois par mois parce que c'est chiant de voir les même à chaque fois.

Ouai et d'ailleurs la sécurité comme ça fait perdre du temps on va virer les feux rouges et les stops. Pareil les limites de vitesse c'est relou on vire. Puis c'est quoi cette idée d'avoir un permis pour conduire? C'est une formalité de trop. Paf on vire. Vraiment, la sécurité des fois c'est chiant quoi!

@Skefrep : visiblement, il faut aussi savoir mettre les balises <ironie>, certains ont du mal...

edit pour W3C : </ironie>

@seb : si on les forme pas a repérer du « Social Engineering » quand elle y sont confrontées, comment veux-tu qu'elles fassent gaffe ?

@Ishido
C'est bien ce que je dis. Je ne dis pas que le problème vient des secrétaires mais de la formation des secrétaires.

Cela dit en passant, je suis dans les systèmes et réseaux, j'ai une formation dans les systèmes et réseaux, je sais ce qu'est du social engineering, mais je n'ai jamais appris à le repérer. Je serais bien incapable d'expliquer à la secrétaire comment elle pourrait se rendre compte de quoi que ce soit.
Je reçois régulièrement des appels d'entreprises voulant des infos sur notre infra et notre parc informatique pour mettre à jour leur base de données, par principe je confirme tout ce qu'ils me donnent même si ce n'est pas à jour, mais je suis incapable de dire si c'est du social engineering ou une vrai boite qui veut de vrais infos.
D'ailleurs, ceux qui veulent des infos sur les entreprises doivent s'éclater en ce moment. Les secrétaires étant en vacances alors que les boites ne sont pas fermée, ce sont des remplaçantes qui sont à leur poste. Donc même si l'entreprise est sérieuse et a formé les secrétaires en poste, les remplaçantes ne le sont pas forcément.

Faut une formation pour ne pas donner des données sensibles sans vérifier l'identité de la personne à qui on les donne ?

@XEN : plus ou moins. La plupart des gens n'est pas sensibilisée à la sécurité informatique, sous quelque forme que ce soit. Ce Pebkac en est une des nombreuses démonstrations.
Imagine, tu es secrétaire (homme, femme : OSEF), d'un niveau d'intelligence moyen, peu sensibilisé à l'info (enfin, si mais ça te fait chier). Il est 17h00, tu te casses dans moins de 5 minutes. Le téléphone sonne. Tu décroches, ça se trouve c'est important.
- Salut, c'est Marc Machin de la société <société qui sous-traite pour la tienne>. J'allais faire une update de votre base par SSH et connexion cuivrée en utilisant le protocole IPoT, mais je viens de m'apercevoir que je ne trouve plus mon post-it avec mes identifiants dessus. Vous pouvez me refiler mes identifiants sur le serveur que je puisse faire la MàJ ? Je crois que mon login était quelque chose comme « route » ou un truc comme ça.

Tu vois ce que je veux dire ?
(Même si mon exemple est pourri.)

En effet, ton exemple est pourri ;)

Si tu téléphone chez nous, en plus de pas comprendre de quoi tu parle, notre secrétaire n'a pas les identifiants des serveurs.

@Link : J'avais espoir que le texte barré serait suffisamment explicite. J'ai visiblement encore placé la barre trop haut.

En même temps, une secrétaire qui possède des identifiants, c'est gros PEBKAC.

La possession d'identifiants implique une énorme responsabilité. Et une secrétaire n'a pas à avoir des responsabilités, c'est le DSI qui doit en avoir. C'est le seul à avoir accès aux identifiants (le mieux c'est encore que personne ne connaisse les mots de passe, évidemment).

@ Ishido : Perso je préfère citer l'exemple du stagiaire qui va parfois bosser sur du contenu sensible , qui une fois son stage finit publie son rapport de stage sur son blog ou le site de son école afin qu'il serve d'exemple pour les suivants. du coup une vrai mine d'info et pas que pour les autres stagiaires ^^

@neeko : un grand pouvoir implique .... ok je sort X)

@{Nekoo, Kototsu} : j'avais bien dit que mon exemple était pourri. Il était là pour illustrer que ça peut arriver sous une forme anodine (mais non réaliste, dans ce cas…).

Moui, c'est un poil plus compliqué que ce que j'avais lu d'abord.

Mais, honnêtement, partout ou je suis passé et ou les chefs devaient valider mes demandes, ils n'ont JAMAIS vérifié que je ne faisias pas de clownerie. La différence avec le cas présent, c'est que je n'avais pas leur mot de passe. Mais ça ne changeait pas grand chose.

Parceque :
(1) ils ne comprennent pas ce qu'on fait(normal, c'est complexe, ils ne sont pas à plein temps dessus. Et je ne pense pas être une exception).
(2) ils ont autre chose à foutre(genre nous donner d'autres trucs à faire).

J'ai TOUJOURS pris la peine de mettre une phrase(courte) de contexte pour expliquer le pourquoi de la demande. Généralement, elle n'est même pas lue. Et mes collègues ne se font pas suer avec ça. Pas le temps. La sécurité, c'est aussi donner aux gens le budget-temps de faire les choses bien. Quand la première exigence de la direction est de faire plus avec moins de monde, il ne faut pas s'étonner que les gens aillent au plus rapide. C'est ce qu'on leur demande.

Y'a quelques années la secrétaire d'un service avait sur le tableau blanc situé derrière son poste écrit:
Compte: Root mot de passe: AAAA.

Le responsable informatique de tous les services avait un sacré mot de passe: compte: installateur mot de passe: Cloclo.

A cette époque nous n'avions de Firewall dans l'entreprise, mais ceci est une autre affaire.

Tu ne voudrais pas que les utilisateurs s'inquiètent d'un problème d'informaticiens, non-plus ?

Et comme dit sudo Un grand pouvoir implique de grandes responsabilités.

Se jette par la fenêtre, et rebondit sur un trampoline en toile d'araignée.

Edit : Arf, grillé par Kototsu

@Clem :
Tu peux me filer les identifiants de ton compte ? Comme ça je met mes PEBKACs direct, on perds pas de temps à les valider...

Oui, tu sors !

Il faudrait aussi les donner à GN pour qu'il corrige les fautes en direct plutôt que dans les commentaires.

@seb : On s'en fout, de repérer du social engineering. Il y a une règle : Ne pas donner d'information à quelqu'un qui ne peut pas te prouver qu'il a le __droit__ de les connaître. Et de connaître son identité, savoir si ledit quelqu'un est un vilain espion de la boîte concurrente ou un concierge trop curieux, n'est pas pertinent.

Il y a quelques années, lors de son service militaire, mon père gardait un truc vaguement important, peut-être bien un dépôt de munitions. Un galonné se pointe, demande à entrer : Il a bien ses papiers d'identité, mais pas de laisser-passer. Malgré une engueulade, il est resté à la porte.
... Quelques semaines après, ledit galonné a fait publier une note de service félicitant les conscrits qui, contrairement aux "carrière", respectaient la procédure à la lettre.

Par contre il nous faut un permis de PC! On déconne pas avec ça!

@El_Slapper:
Problème: Les artificiers fument dans la poudrière alors que c'est interdit pour raison de sécurité.
Solution: Retirer les panneaux "interdit de fumer" et distribuer des allumettes.
O_o

Je veut bien croire que tes chefs signent n'importe quoi sans lire, mais le fait que des irresponsables n'appliquent pas le protocole de sécurité ne justifie absolument pas de supprimer les contrôles!

@ROB: Avec mon programme n'importe quel policier pourra réécrire la loi, donc il te suffit de passer le concours d'entré et tu pourra instaurer un permis PC.

Remarque, tant qu'a faire je pourrai carrément supprimer le concours d'entré de la police et te nommer policier. Voir même nommer tout le monde policier.

Bof ce serait le premier à plonger dans la piscine pour changer un combustible radio actif avec comme simple motif que la grue ne va pas assez vite.

Je verrais bien un système qui fonctionnerait en réseau interne en mode communautaire, qui posséderait un système d'invitations à la modération, afin d'éviter aux employés de se déplacer, de balancer son mot de passe à travers la pièce.
Mais bon je rêve évidement on est pas au 21ème siècle.

Heuuuu... Oui mais non. Normalement ils vérifient que t'as pas mis dans ton rapport des données sensibles. En tout cas dans ma boîte c'est le cas.

Ces méthodes pour augmenter la sécurité me font penser aux astuces trouvée pour augmenter le temps de lavage de mains dans un hôpital.
- un savon qui sent bon
- qui "protège la douceur des mains"
- un miroir au dessus des lavabos. (Je me regarde dedans et paf 30s de plus sous l'eau)

De toute façon en matière de mot de passe, peu importe le critère de sécurité choisi, si l'utilisateur marque String123...Ca en même pas 3 jours c'est trouvé.
Après, nous pour un client la critère de sécurité est que tout ou partie du dossier administratif est identifié et refusé comme la date de naissance, le nom, le prénom etc... Mais nos amis les utilisateurs utilisent leur post-it pour retenir les mots de passe.
Post-it évidemment collé sur l'écran alors qu'il pourrait être rangé dans un tiroir fermé à clé...
En matière de PEBKAC, la sécurité peut faire des perles mais les utilisateurs en font des colliers à la pelle !!!!!

@but2ene : sauf qu'on ne met pas de combustible dans les piscines, on y met des déchets.

@Shirluban : OUAIIIIIIS ! ANARCHIIIIIIIIIIIE !