Bienvenue sur PEBKAC.fr, le site qui recense les anecdotes où l’on se moque des utilisateurs ne maîtrisant pas l’outil informatique. PEBKAC est un acronyme signifiant « Problem Exists Between Keyboard And Chair ».
Le problème se situe entre la chaise et le clavier : soumettez vos histoires, donnez votre avis !
Ce site n'est pas le site original pebkac.fr. Je publie ici la liste des PEBKAC que j'ai pu sauvegarder avant que le site original ne soit mis hors ligne.
Intégration dans un landscape de lecteurs de code-barres Windows Mobile 6.5. L'idée étant de paramétrer le lecteur pour qu'il accède au démarrage à la page Web d'un WebService via un réseau Wi-Fi. Ce réseau étant « sécurisé » ainsi :
– Clé WPA2-PSK de 63 caractères alphanumériques et symboles ;
– Range IP de 8 devices (tout juste le nombre de scanners) ;
– Pas de DHCP ;
– Filtrage MAC ;
– Correspondance IP/MAC obligatoire.

Le routeur du point d'accès ne laisse passer que les requêtes destinée à un serveur WebDispatcher (sorte de proxy) et uniquement sur certains ports du serveur. Ce WebDispatcher se contentera de relayer les requêtes vers les ERP.

Au final : un masquage du SSID du Wi-Fi et un clé WPA2-PSK étaient largement suffisants, plutôt qu'installer une sécurité ne bloquant que les « non-initiés » à la sécurité informatique.

Pour le service technique qui a réalisé une architecture de sécurité aussi inutile que casse-pieds à intégrer : PEBKAC.
PEBKAC #8370 proposé par Arnith le 14/08/2013 | 43 commentaires | 👍🏽 👎🏽 -186
Quand Mme Michu ne sécurise pas son wifi, c'est un PEBKAC, quand un SI sécurise son réseau c'est un PEBKAC aussi.
Décidément, ça devient de plus en plus compliquer de ne pas être un PEBKAC.
Commentaire #106831 écrit par seb le 14/08/2013 à 12h43 | 👍🏽 👎🏽
Masquage du SSID en sécurité c'est toi le Pebkac

Edit: juste inscrit premier Pebkac déjà dans le rouge. Belle performance
Commentaire #106835 écrit par Quelqu'un le 14/08/2013 à 12h46 | 👍🏽 👎🏽
Aucune sécurité n'est suffisante en wifi (broadcast de tous les points de ton réseau) donc le service tech a raison d'en mettre le plus possible
Commentaire #106836 écrit par A-xis le 14/08/2013 à 12h49 | 👍🏽 👎🏽
C'est qui déjà qui se plaignait que les pebkacs devenaient insipides et pas assez technique ? Il est servi ;)
Commentaire #106841 écrit par Link le 14/08/2013 à 12h59 | 👍🏽 👎🏽
Je ne vote jamais d'habitude, mais là, franchement, CTLP... Aucune mesure de sécurité n'est superflue. Le choix est judicieux et adapté à l'utilisation normale.
La seule chose qui peut manquer ce serait une contingence lors de phases de test avec des appareils supplémentaires...
Commentaire #106846 écrit par nouanda le 14/08/2013 à 13h21 | 👍🏽 👎🏽
Quand on s'y connait en sécurité, on adapte la sécurité à l'environnement dans lequel on travail.
Commentaire #106847 écrit par Arnith le 14/08/2013 à 13h22 | 👍🏽 👎🏽
Quelqu'un peut m'expliquer la première phrase : Intégration dans un landscape de lecteurs de code-barres Windows Mobile 6.5

Un lecteur de code barre, c'est une douchette tout ce qu'il y a de plus basique. Que vient faire Windows Mobile 6.5 ici ? Les recherches google m'envoient vers softronic, je pense pas trouver de réponses là-bas.
Commentaire #106848 écrit par Link le 14/08/2013 à 13h28 | 👍🏽 👎🏽
justement je pense que tu ne maitrise absolument pas donc laisse faire les pros :)
Commentaire #106850 écrit par Quelqu'un le 14/08/2013 à 13h30 | 👍🏽 👎🏽
Il y avait ça dans ma boite des douchettes bluetooth relièes à un PDA sur Windows Mobil et un soft qui permettait de faire la liaison PDA-->ERP
Commentaire #106853 écrit par Quelqu'un le 14/08/2013 à 13h32 | 👍🏽 👎🏽
Entre ça et le PEBKAC du dessus, je sais plus quoi penser : faut tout laisser ouvert en permanence, ou cramer au lance-flamme quiconque possède un appareil électronique, juste au cas ou ?
Commentaire #106859 écrit par Voynich le 14/08/2013 à 13h45 | 👍🏽 👎🏽
Quand on s'y connait en sécurité, on blinde le système pour pas qu'on passe à travers plutôt que de faire ça à l'arrache en espérant tomber que sur des Mme Michu ou des scripts kiddies.
Commentaire #106873 écrit par seb le 14/08/2013 à 14h15 | 👍🏽 👎🏽
Tu as par exemple ça : http://www.expansys.fr/motorola-symbol-mc9090-g-handheld-computer-eu-r[...]
Commentaire #106876 écrit par Tryskel le 14/08/2013 à 14h20 | 👍🏽 👎🏽
Pour moi, c'est l'inverse absolu du PEBKAC... les mecs ont quasiment mis tout ce qu'il etait possible en securité et ca marche bien visiblement.
Ils auraient pu pousser le vice jusqu'a coller du 802.1X :)
Commentaire #106879 écrit par imbolcus le 14/08/2013 à 14h32 | 👍🏽 👎🏽
Contre des Mme Michu, il n'y a même pas besoin de masquer le nom du réseau.
Commentaire #106881 écrit par Shirluban le 14/08/2013 à 14h40 | 👍🏽 👎🏽
Justement ça ne fonctionne pas bien : la config est trop compliquée à gérer pour eux, ils s'emmêlent les pinceaux et c'est extrêmement lourd pour les prestataires et utilisateurs.

J'en vois beaucoup qui parlent de sécurité en disant : faut tout verrouiller et mettre le max sur du wifi. Non, encore une fois, on blinde la sécurité d'un réseau quand les données qui y transitent sont critiques où quand il accède à des systèmes critiques. Hors ici ce n'est pas le cas car les systèmes de sécurité sont placés derrière la strate wifi. Et les données critiques encore plus loin.

Il faut adapter les paramètres de son landscape à l'utilisation qu'on en fait.

Imaginez si dans les fast food il y avait des réseaux configurés de la même manière ? qui dit réseau WIFI ne dit pas forcément "sécurité maximum"
Commentaire #106892 écrit par Arnith le 14/08/2013 à 15h02 | 👍🏽 👎🏽
Contre des Mme Michu on peux même laisser trainer des câbles Ethernet branché.
Seule, elle sait juste lancer le solitaire
Commentaire #106894 écrit par Millman le 14/08/2013 à 15h08 | 👍🏽 👎🏽
Vu ce qu'on peut récupérer en se connectant à un WiFi public (infos personnelles à foison) un peu plus de sécurité ne ferait pas de mal dans les fastfoods.
Commentaire #106896 écrit par Millman le 14/08/2013 à 15h11 | 👍🏽 👎🏽
Alors ça c'est certain. En revanche, je doute que ce soit dans le cahier des charges...
Commentaire #106897 écrit par Arnith le 14/08/2013 à 15h12 | 👍🏽 👎🏽
Et l'escalade de privilège jusqu'au données sensible tu connais?
Tu es sur un réseau pro et non sur ton Wifi perso, il y a une petite différence entre protéger des infos confidentielles et tes films de fesses vacances.
Commentaire #106906 écrit par Quelqu'un le 14/08/2013 à 15h23 | 👍🏽 👎🏽
"J'ai pas de lingots d'or chez moi, je ne ferme pas la porte"
Commentaire #106907 écrit par A-xis le 14/08/2013 à 15h24 | 👍🏽 👎🏽
A-xis tu habite ou? Surtout si tu possède une TV 107cm et un PC avec core I9 et 4 carte mère.
Commentaire #106911 écrit par Quelqu'un le 14/08/2013 à 15h27 | 👍🏽 👎🏽
Quand on s'y connait en sécurité, on ne considère pas le masquage de l'ESSID comme une mesure de sécurité.

Les mesures dont tu parles ici sont au contraire très bien, si un maillon lâche il y en a d'autre pour empêcher le drame (par exemple si demain une nouvelle attaque sur WPA2-PSK est publiée)
Commentaire #106913 écrit par n0p le 14/08/2013 à 15h28 | 👍🏽 👎🏽
Il est du devoir de ton entreprise de protéger son réseau.

Chez nous au ministère chez Orange nous utilisons le pare feu Open office pour sécuriser nôtre réseau câblé en Wifi.
De plus si de vilain pirates téléchargent les chez d'œuvre du cinéma français comme camping, bienvenu chez les chtis ou les dernières chansons de Sexion d'assault mon chère amis Pascal N ne pourra pas se faire des millions et votre accès risque d'être coupé.
Commentaire #106934 écrit par Christine A. le 14/08/2013 à 16h14 | 👍🏽 👎🏽
OK, le PEBKAC n'est pas dans la note, c'est que les admins n'arrivent pas a gerer le bouzin. La, PEBKAC a eux (et pas a l'installateur) et PEBKAC a qui a oublie de prevoir la formation qui va bien.
Commentaire #106940 écrit par Matthieu le 14/08/2013 à 16h38 | 👍🏽 👎🏽
On l'a déjà dit : Filtrage MAC -> pebkac. Tu rajoutes pas de DHCP et t'en as un deuxième ;)

Ca ne fait que chier ceux qui doivent s'en servir pas les méchants pirates.
Commentaire #106954 écrit par but2ene le 14/08/2013 à 17h22 | 👍🏽 👎🏽
Oui ils devraient même enfermer toutes les bornes wifi dans un coffre fort. Cela fera aussi office de cage de Faraday.

On ne sait jamais une attaque physique est si vite arrivé ;)
Commentaire #106957 écrit par but2ene le 14/08/2013 à 17h25 | 👍🏽 👎🏽
Voir même les petites douchettes que tu utilises avec ta carte de fidélité en magasin. Celle avec laquelle tu scannes tes achats et tu n'as plus qu'à payer à la fin. Sans faire de queue.
Commentaire #106958 écrit par but2ene le 14/08/2013 à 17h28 | 👍🏽 👎🏽
Ben si t'accueilles du public avec des smartphones. Il vaut mieux masquer le SSID. Sinon tu vas saturer ton canal avec plein de gens essayant de se connecter. Bon normalement en voyant le WPA2 ils devraient éviter. Mais bon.
Commentaire #106962 écrit par but2ene le 14/08/2013 à 17h30 | 👍🏽 👎🏽
Etant habitué au archaïques douchettes en RS232, j'avais pas pensé à des modèles largement plus évolués.
Commentaire #106963 écrit par Link le 14/08/2013 à 17h31 | 👍🏽 👎🏽
Mais es-tu dans un bunker avec des miradors pour autant ?
Commentaire #106966 écrit par but2ene le 14/08/2013 à 17h41 | 👍🏽 👎🏽
@Quelqu'un : je pense que c'est un pro pour avoir accès à cela... Pro != compétent. Mais bon sans être méchant as-tu les compétences requises pour dire que ce système est bien ou pas bien fait ?

Là le problème c'est qu'il est quasiment ingérable. Et pour finir si t'as passé le WPA2-PSK toutes les autres "sécu" (4 point en dessous) sautent avec une bête écoute.

En gros ajouter des petits cadenas de valisette sur une porte blindée n'a jamais ajouté de sécurité....
Commentaire #106967 écrit par but2ene le 14/08/2013 à 17h43 | 👍🏽 👎🏽
@but2ene pas de problème et je suis loin d'avoir la science infuse et la maitrise de tous les domaines dans ce cas il faudrait rajouter un radius pour être vraiment au top non ?
Le truc qui m'a fait le plus tilter c'est considérer la non diffusion du SSID comme sécurité.

Corrige moi si je dis n'importe quoi.
Commentaire #106975 écrit par Quelqu'un le 14/08/2013 à 18h01 | 👍🏽 👎🏽
Par exemple des appareils pour inventaire. Le code-barres n'est qu'un «petit» composant du terminal bien plus sophistiqué.
Commentaire #107042 écrit par H. Finch le 14/08/2013 à 22h27 | 👍🏽 👎🏽
TV 107cm? FAKE!
Commentaire #107047 écrit par Digi le 14/08/2013 à 22h35 | 👍🏽 👎🏽
@but2ene : Je ne vois pas ce que ça a d'ingérable. Y'a rien de compliqué dans le setup décrit ici.

Mais c'est surtout que si c'est bien fait ça va faire des alertes (au niveau du réseau) et quelqu'un se rendra compte qu'il y a un problème. Ça empêche les attaques "automatiques".

Mais bon perso j'ai surtout voté CTLP parce que l'auteur considère "un masquage du SSID du Wi-Fi" comme une mesure de sécurité. S'il avait juste parlé du WPA2 c'était bon.
Commentaire #107048 écrit par n0p le 14/08/2013 à 22h37 | 👍🏽 👎🏽
i9 ? Peuh, je suis a l'i42 moi ...
Commentaire #107055 écrit par A-xis le 14/08/2013 à 23h48 | 👍🏽 👎🏽
Ben essaye d'avoir plus de 8 scanettes. Ben tu dois tout reconfigurer à cause de taille du réseau IP utilisé. Joie bonheur.
Commentaire #107071 écrit par but2ene le 15/08/2013 à 02h16 | 👍🏽 👎🏽
Y'a tout de même une justification possible à l'absence de DHCP: ça fait un vecteur d'attaque en moins. Un attaquant pourrait essayer de mettre son propre serveur DHCP sur le réseau, pour se mettre en position pour un MITM entre les lecteurs et la vraie passerelle.

Il y a certaines configurations, en wifi, où ça marche alors que l'ARP spoofing ne marche pas.

Pas d'excuse en revanche pour le filtrage MAC et le masquage de ssid.
Commentaire #107081 écrit par b0fh le 15/08/2013 à 10h37 | 👍🏽 👎🏽
Ben c'est juste de dire que l'auteur n'a pas les compétences. Je trouve cela assez prétentieux.
Il dit juste qu'il mettrait en oeuvre deux méthodes : WPA2 et le masquage SSID. Il n'a pas dit que le masquage était la sécurité absolue.
Je trouve que s'acharner dessus parce qu'il c'est mal exprimé ou que vous n'avez pas compris.

Tu veux authentifier l'utilisateur de la scannette via un radius avec aussi WPA-EAP. Je trouve que ce n'est pas une mauvaise idée. Mais il faut que la scannette la supporte et que ça ne fasse pas trop perdre de temps à l'utilisateur. Login pass sur un écran tactile ...

En ce qui me concerne, je n'ai pas non plus la science infuse. Je ne me proclamerais pas expert en sécurité. Je me suis intéressé à la sécurité durant mon cursus. J'ai quelques connaissances dans ce domaine. Une fois le WPA2 cassé sur ce type d'installation. Je pense ne pas avoir trop de soucis pour faire du Man in the middle et de l'usurpation d'identité. Un pirate chevronné n'en fera qu'une bouchée.

Je suis du même avis que l'auteur, ces "sécurités" supplémentaires en font chier que ceux qui développent le système, mais n'apportent rien.

C'est vraiment mettre des cadenas de valisettes sur une porte blindée. Ça va faire chier que le gars qui doit la franchir avec toutes les clefs.
Commentaire #107083 écrit par but2ene le 15/08/2013 à 11h58 | 👍🏽 👎🏽
Ben c'est à dire que si j'ai la clef wpa2. Ce qui serait nécessaire pour une attaque en arp ou dhcp.

Je peux aussi me faire passer pour le diffuseur du ssid avec une autre adresse mac (le wifi supporte le roaming). Il suffit de répondre plus rapidement. S'il ne me choisit pas, ce qui serait étonnant vu que j'aurais un signal plus fort, j'envoie une déconnexion en me faisant passer pour la borne et je recommence.
Enfin, je rediffuse vers le vrai et je suis entre les deux.
Cela peut-être sur un canal différent ou j'utilise une autre mac/ip (vu que j'ai tout sniffé) pour communiquer avec la vrai.

Voilà une autre attaque mitm.
DHCP ou pas ça ne change pas grand-chose.
Commentaire #107084 écrit par but2ene le 15/08/2013 à 12h11 | 👍🏽 👎🏽
ps : en fait j'oubliais vu les énormités que les experts en sécurité d'HADOPI ont sorties pour leur programme-espion tu peux sans problème y aller et te faire appeler expert. Quelles que soient tes connaissances en sécurité. XD
Commentaire #107086 écrit par but2ene le 15/08/2013 à 12h16 | 👍🏽 👎🏽
Mais on ne sait pas, peut-être que les clients ont aussi une liste blanche de MAC pour les AP.

En supposant qu'on a la clef WPA, ou qu'on a accès au réseau filaire, ça demande quand même considérablement moins de ressources et de compétences de lancer un serveur DHCP, que ton scénario qui nécessite de maintenir avec le vrai AP une association séparée pour chaque client à cause du filtrage MAC/IP.
Commentaire #107126 écrit par b0fh le 15/08/2013 à 17h20 | 👍🏽 👎🏽
"Mais on ne sait pas, peut-être que les clients ont aussi une liste blanche de MAC pour les AP."
On peut aussi faire une liste blanche des serveurs DHCP répondant, tu peux même faire du filtrage mac si ça t'amuse. Aussi déclencher une alarme quand on a deux réponses d'une requête.


Enfin lancer hostapd demande beaucoup de compétence en effet... taper les lettres dans le bon ordre ;)

" que ton scénario qui nécessite de maintenir avec le vrai AP une association séparée pour chaque client à cause du filtrage MAC/IP." Ben dans ton scénario aussi il faudra une ip par scannette... Si t'as le droit au nat moi aussi. Ca ne change rien. Mais il faut quand même se connecter au serveur pour faire du mitm sinon tu n'es pas au milieu.
Commentaire #107132 écrit par but2ene le 15/08/2013 à 17h46 | 👍🏽 👎🏽