Suivre

Camarades informaticiens, vous désespérez parfois des pratiques liées à la sécurité sur votre lieu de travail ?

Heureusement, les ministres de la Défense de l'UE sont à la hauteur de leur fonction. Ils font leurs réunions secrètes sur Zoom et publient leurs codes d'accès à ces réunions sur Twitter.

OMFG.

lesoir.be/339146/article/2020-

Merci à @Le_M_Poireau

· · Web · 1 · 33 · 7

@devnull

Et le président du conseil de défense qui dit "that's a criminal offense".

Look who's talking.

Ca me fait penser à l'un des RSSI à qui j'avais eu à faire. Le seul élément de sa politique de sécurité c'était mettre un motd sur les serveurs pour dire "blabla introduction frauduleuse blabla 45000 € 3 ans de prison".

Visiblement il aurait sa place au ministère de la Défense lui.

@Le_M_Poireau

@tham Il a raison, ne pas sécuriser ses communications quand on a poste critique devrait etne considéré comme un crime…

Oh wait, c'était pas ça qu'il voulait dire ? Le crime, c'est un journaliste qui fait son boulot en appuyant là ôù ça fait mal (à l'égo) des « dirigeants » ?

@Le_M_Poireau

@devnull @tham @Le_M_Poireau
C'est pas exactement Zoom, mais ça ne change rien à la "sécurité" de ce serveur de visioconférence 😓
➡️ web.vp.consilium.europa.eu/onb ⬅️

@VoronoV Déjà rine que leurs conf TLS… TLS 1:2 max, pjeins de suites CBc, non-PFS et/ou à base de SHA1… Au moins y a pas de 3DES/MD5…

@devnull
N'empêche, la Ministre de la Défense de Hollande qui tweete une photo de l'écran de la conférence, avec l'URL très lisible 👌
La sécurité commence en donnant des claques aux ministres.

@VoronoV Mais… C'est un paramètre GET pour l'authentification…

Bien sur, ça empêche pas que c'est prodigieusement stupide de poste sur twitter ou ailleurs le screenshot, surtout avec l'URL bien lisible, d'une visioconf pour « une réunion secrète »…

@VoronoV Ça me rappelle les portails captifs de SFR avec authentification pour ses abonnées… Ils faisaient (font toujours?) pareil avec
- l'username du compte (sous la forme pnom de l'abonnée… p = première lettre du prénom, et nom = nom complet, donc sa vraie identité qui se balade en claire… parce qu'en plus Https était optionnel il me semble)
- l'adresse MAC de la machine connectée.

Dans quel univers les devs web trouvent ces bidouilles stupides acceptables… ? ça m'échappe…

Inscrivez-vous pour prendre part à la conversation
Framapiaf

Le réseau social de l'avenir : Pas d'annonces, pas de surveillance institutionnelle, conception éthique et décentralisation ! Possédez vos données avec Mastodon !