#Sécurité : Pourquoi le site des sénateurs #UMP doit être considéré comme compromis ?

Nous avons un peu l’impression de tourner en boucle dés fois sur Reflets. Le plus éprouvant pour nous, c’est d’user de toute la pédagogie possible pour être assurés d’être compris quand nous publions un article
Abonnez-vous ou connectez-vous pour lire le reste de cet article
Twitter Facebook Google Plus email

17 thoughts on “#Sécurité : Pourquoi le site des sénateurs #UMP doit être considéré comme compromis ?”

  1. Laurent Chemlia explique que l’Internet est un formidable outil amenant inéluctablement la disparition des intermédiaires à tous les niveaux, Benjamin Bayart explique qu’Internet permet à tout le monde de prendre en charge sa communication au lieu de la réserver à une élite, et bluetouff explique que pour communiquer sur Internet il faut un intermédiaire technique d’élite…

    Y’a une petite contradiction non?
    En tant qu’internaute qui tente d’expliquer que faire son site c’est facile comme tout j’avoue que j’aimerais comprendre à partir de quel niveau cela cesse d’être vrai et nécessite un professionnel plutôt qu’un passionné.

    1. Mouis, si vous considérez que développer votre propre blog avec vos infos persos, vos photos et vos opinions perso est la même chose que gérer une organisation qui détient des infos sur tout un pays, peut-être bien.
      Personnellement je serai un peu plus prudent, mais c’est sans doute pure paranoïa.
      Et à propos, au moment de monter son propre site, il peut être intéressant de savoir si on le fait sur une plateforme fiable, ce qui permet d’être plus tranquille et de s’adonner à ses passions.
      PS : je suis d’accord sur le fait que tout cela est compliqué-

    2. ça peut sembler contradictoire.
      Mais si je fais une analogie pas trop pourrie, c’est comme la mécanique automobile, y’a des gens dont c’est le métier, des gens qui arrivent très bien a subvenir a leur besoin avec ce qu’ils ont chez eux, et ceux qui n’y toucheront jamais. Si tu ne veux pas vidanger ta voiture, tu demandes à un garagiste de le faire, pas a un designer automobile.
      Ben le site web c’est pareil. si tu ne le fais pas toi même, tu ne demande pas a une agence de com de le faire (quand bien même il est pertinent qu’elle parle au webadmin).

    3. Tout dépend de ce que l’on entend par « facile comme tout ».
      Créer un blog par l’intermédiaire d’une plateforme existante, oui ce n’est pas bien compliqué.
      En revanche, le néophyte ne peut pas prétendre à développer une vraie application web.

  2. Et une petite série de tweet auprès de différents « responsables politiques » histoire de les sensibiliser?
    PArce qu’on parle de l’UMP, mais je serais pas surpris que les autres partis aient les même comportements.

  3. http://pro.clubic.com/it-business/securite-et-donnees/actualite-713021-rapport-cybercriminalite.html

    ahem, je trouve que ça tombe à point nommé…

    Ouh putain j’avais pas lu:
    « Le blocage des sites et des noms de domaine suite à une décision de la justice uniquement pour les infractions graves. »
    Défaut de sécurisation de données personnelles ça peut être considéré comme une infraction grave? ^^

    /me sent venir l’idée à la con

  4. Tiens, ça me fait penser à une petite plateforme web concernant de la fourniture de prestation que j’ai migrée pour son nouvel acquéreur (sachant que les anciens devs ont été embauchés par le nouveau propriétaire) il n’y a pas longtemps. Au menu:

    * .htaccess non verrouillé
    * identifiants de la bdd récupérables directement depuis le site
    * configuration du serveur mail en mode « tiens, si je relayais du spam? »
    * phpmyadmin à poil
    * webmail à poil
    * accès ftp directement à la racine des sites concernés avec login et mot de passe bidon

    Le plus drôle étant que je me suis fait engueuler parceque le « sftp avec tes clef asymachin c’est chiant », « pourquoi y’a un machin « Authentification » sur la preprod? », « pourquoi y’a un machin authentification en plus sur le phpmyadmin », etc, entre autres >.>

    Mais j’ai pas cédé :)

  5. L’agence Septièmesens a bien pris acte du défaut de son site Internet. Quant aux informations contenues sur son site, celles-ci ne permettent pas de s’introduire sur le site des sénateurs UMP.
    Nous remercions reflets pour sa vigilance à l’égard des sites Internet et particulièrement ceux de l’UMP.

  6. Cette boite ce n’est que la partie visible de l’iceberg. Plein de boites n’ont pas d’admin système compétent et préférèrent en charger un pauvre développeur qui a eu 3 cours de réseau à tout casser,quand il n’est pas encore à l’école. Et bien sur en le tenant pour responsable quand immanquablement survient un problème…
    Le vrai point bloquant c’est que la plupart des français, « digital natives » compris, ne captent rien du tout à l’outil qu’ils utilisent pourtant au quotidien. Comment pourraient ils alors ne serait-ce que commencer à appréhender la complexité de ces métiers ?
    Les développeurs aux US ne sont pas vus de la même manière qu’en France et il y a une bonne raison à cela, ce ne sont pas de simples exécutants.

  7. Cette boite ce n’est que la partie visible de l’iceberg. Plein de boites n’ont pas d’admin système compétent et préférèrent en charger un pauvre développeur qui a eu 3 cours de réseau à tout casser,quand il n’est pas encore à l’école. Et bien sur en le tenant pour responsable quand immanquablement survient un problème…
    Le vrai point bloquant c’est que la plupart des français, « digital natives » compris, ne captent rien du tout à l’outil qu’ils utilisent pourtant au quotidien. Comment pourraient ils alors ne serait-ce que commencer à appréhender la complexité de ces métiers ? Comment pourraient ils les voir autrement que de simples exécutants ?
    Aux Etats-Unis ça fait pourtant des décennies qu’ils ont compris eux… Et nous on est toujours là à se demander pourquoi le web est complétement dominé par les services américains.

  8. Payez-vous un RSSI ?
    Mouais… c’est bien gentil mais le problème n’est pas tant le RSSI que l’incapacité des responsables à déléguer.

    Autrement dit, on pourra se payer le meilleur des RSSI du monde, si ledit RSSI n’a pas de fait le pouvoir de décision que devrait lui conférer sa charge, il est absolument et complètement inutile.

    Dans les faits, il arrive à peine, à force de marteler de l’info, à forcer des mots de passe de plus de 8 caractères — parce que le Président du Sénat (un exemple inventé) a décidé que cette règle ne valait pas pour lui.

    Dès lors on ose à peine imaginer le peu d’effet de son avis (alors qu’il devrait non pas s’agir d’un avis mais d’un droit de veto) dans le choix d’un fournisseur de services, d’une solution technique, voire même d’un simple paramétrage s’il a le malheur de se faire un peu trop mal voir à force d’être dans l’obligation de se couvrir.

    Ceux qui connaissent la situation d’épouvantail-responsable confronté à l’incompétence de décideurs tout puissants reconnaissent sans doute cette situation.

    Malheureusement… la présence d’un RSSI ne changera rien.
    Il y en a probablement déjà un, un vrai hein, un mec bien et compétent, mais qui n’a aucun réel pouvoir de décision et qui, comme bon nombres de fonctionnaires / de contractuels dans l’administration subit le fait du prince et n’a vraiment aucun réel pouvoir.

    Bref : vision bien naïve de l’état de la fonction publique.

  9. Je suis un grand néophyte en sécurité informatique (hélas), mais je rebondis sur les RSSI.

    Il ne faut pas juste en avoir un, il faut en avoir un bon !

    Je bosse dans le service public et je peux vous assurer que la sécurité est ridicule, le RSSI qu’on a le dit lui-même : il a eu une formation de qq jours, le reste c’est lui qui va chercher l’info car il aime ça, mais il reste incapable de faire face à un vrai problème. Et je dépends d’un gros ministère…
    ça fait franchement flipper !

    donc un site à la noix du style groupe politique au sénat, ça ne m’étonne pas que ça soit bidon.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *