Il y a quelques années, dans une entreprise américaine de composants électroniques passifs, nous avons reçu un e-mail envoyé à tous les employés de la planète. Celui-ci nous a été envoyé pour dire que les logiciels libres sont « mal » et qu'il ne faut surtout pas en installer, et tout particulièrement Firefox, car « on ne connaît pas sa fiabilité ».

Quelques jours plus tard, on nous invite de toute urgence à installer Firefox avec une extension « maison » qui interdit toute navigation en dehors des différents Intranets, car c'est le seul qui marchait avec une application interne particulière.

Merci madame la DSI, mais… PEBKAC.

Il y a quelque temps, je me suis baladé sur le site du PLM (Product Life Management) de mon client. En modifiant le contenu de l'adresse du navigateur, j'ai pu explorer toute l'arborescence, afficher le contenu des templates, trouver quelques mots de passe de démons ayant accès à toute la base de données, et autres joyeusetés.

Je préviens l'« application owner » (c'est son titre, grosse société du CAC40 oblige) de ma découverte. Il m'a simplement répondu que ce j'ai découvert était impossible, car en 5 ans personne n'avait remonté cette information. Bref, c'est tout sauf une faille de sécurité.

Je me suis donc rendu sur le site de l'éditeur, et j'ai exposé le problème. Le mois suivant, la version du PLM a pris une révision, et l'affichage du contenu des répertoires du PLM n'était plus possible… Et j'ai eu un e-mail de remerciement de cet « application owner ». PEBKAC.