Dyrk

Salut à tous,

L'anecdote

J'étais vendredi dernier sur mon ordinateur à chercher un sujet d'article.
C'est alors que par le plus grand des hasards, en réalisant quelques "Googles Dorks"
Je suis tombé sur une multitude de sites gouvernementaux français contenants à leur insu des documentations "internes et privés" ... mais référencées et accessibles à tous ...

Jusque-là on peut s'imaginer que se sont de simples notes de service.
Saufs que ... parmi ces documentations, certaines étaient des tutoriels sur l'utilisation de serveurs FTP  !
Avec bien entendu les informations les plus sensibles (serveur, nom d'utilisateur et mot de passe)

Au mauvais endroit, au mauvais moment

Vous allez probablement en rire, mais je n'ai pas la télé et je vis plutôt en autarcie dans ma petite campagne ...
Aussi, vendredi soir je n'étais pas spécialement au fait de l'actualité !
On ne s'amuse pas à auditer des sites du gouvernement lorsqu'il y a une chasse aux sorcières ...
Bref, j'ai longuement hésité à publier l'article ce weekend ... ne souhaitant pas devenir le "coupable idéal"

J'ai même pris le temps de contacter brièvement l'un des sites concernés.

Au départ je n'étais pas spécialement chaud pour publier cet article :s
Zataz m'a même vivement déconseillé de le faire au vu de l'actualité, et de plutôt prendre le temps de prévenir les sites concernés.
Seulement comme je vous l'expliquerais par la suite, attendre qu'ils corrigent, c'est prendre le risque que d'autres profitent et abusent de cette faiblesse ....

Le lien avec la Cyber-Attaque Mondiale

La plupart des ransomware (Virus qui prennent en otage vos fichiers et qui vous demande en échange une rançon) sont déguisés en fichier Word, ou en fichier Excel ... (j'ai bien dit "la plupart", ce qui ne signifie pas "tous").

Le genre de fichier auquel on ne prête pas attention, et qui nous fait baisser notre vigilance à son plus bas niveau  !
Avoir la possibilité d'accéder à des serveurs FTP gouvernementaux, c'est avoir la possibilité d'ajouter, supprimer ... modifier des documents !
Des documents qui pourraient être téléchargés par le grand public... des documents qui pourraient être téléchargés et utilisés en interne dans certains services de l'administration.

Aussi un hacker avec un tel accès, pourraient facilement compromettre des dizaines où des centaines de machines ...

Si je prend l'exemple tout simple des changements de carte grise !
Combien de personne vont  chaque jours, télécharger le CERFA N°XXXXX pour déclarer un changement d'adresse ou de propriétaire !
En admettant qu'un hacker remplace le fichier officiel par son propre fichier ce sont des dizaines, des centaines de particulier et / ou d'entreprise qui se feront alors avoir.

Le Cloud une solution à risque mais qui protège

La curiosité est humaine, de mon côté, souvent lorsque je reçois un document ...
Même en sachant pertinemment qu'il s'agit là d'une saloperie, j'aime regarder le contenu .. Juger de la qualité...

Aussi, pour travailler en mode "bac à sable" (sandbox), j'envoie ces fichiers sur un "Google Drive", afin de les ouvrir depuis celui-ci.
Ne craignant pas de corrompre mon système, en l'ouvrant via le drive et non directement via un logiciel comme MS Word, qui a un accès direct à mon système et n'importe lequel de mes fichiers, pouvant les modifier.

Attention, l'utilisation du Drive n'est nullement pour stocker des fichiers, mais juste pour en consulter le contenu, et supprimer par la suite le fichier.
Il est tout à fait imaginable qu'un Google Doc, puisse chiffrer votre Drive ...

Conclusion

Que vous soyez dans le public, ou dans le privé, évitez de stocker vos mots de passe dans des documents (d'autant plus si ceux-ci peuvent être accessible par n'importe qui), privilégiez plutôt des outils de gestion de mot de passe en entreprise.