Magazine High tech

Bank Of America valide une des lois de Microsoft

Publié le 17 mars 2011 par Romainbochet

Lors d'un TD de sécurité, nous avons eu l'occasion d'entendre parler d'un document de Microsoft nommé "10 Immutable Laws of Security".

Comme son nom le laisse a penser, ce document contient un ensemble de règles édictées par les chercheurs en sécurité de Microsoft. Ces règles sont données comme étant intemporelles, et l'une d'entre elle peut en effet être relue à l'aune de l'actualité récente.

Je vous arrête tout de suite : aucune de ces lois ne fait rentrer en jeu une centrale nucléaire, un tsunami ou encore un tremblement de Terre ; ce n'est pas cette activité là que j'évoque.

Je parle d'une actualité qui dont la diffusion fut plus limitée, car l'impact sur les vies humaines est moins spectaculaire : je parle de l'affaire de Bank Of America, et de la dissimulation des fraudes à l'assurance crédit qui a été divulguée récemment par les Anonymous.

La fuite de ces données aurait été organisée par un employé de la banque qui avait accès à l'outil de gestion des prêts et qui a divulgué ces documents a des sources extérieures. Sans aucun jugement sur ce cas (dont on ne connait pas encore tous les tenants et les aboutissants), la banque n'aurait pas du faire confiance à ce salarié, et cette erreur risque de lui couter cher.

Mail BOA - Balboa

Un des mails incriminés d'une filiale de Bank of America

Le point est que ce salarié n'avait accès qu'a une petite partie du système d'information ; qu'en aurait-il été si il avait eu accès a une grande partie des documents de l'entreprise ? Et si il avait la main sur le serveur de mails, quelles données auraient pu être transmises ?

Ce qui nous ramène à la fameuse loi numéro 6 :

Law #6: A computer is only as secure as the administrator is trustworthy

Et cette loi rejoint parfaitement la conclusion d'un excellent article de ReadWriteWeb :

Vous pensiez que votre admin réseau était un employé sous payé et inoffensif ?

Think again.

Et un petit extrait d'un des mail de celui qui a fait fuiter les informations :

“All you have to do after bringing the one story to light is create an avenue for everyone else to start doing what I did. Once employees see that they can be successful at it, you won’t just have a stronger axe to cut off 1 head…you’ll have 1000 axes aimed at all of the heads.”

À quand les prochaines révélations ?


Retour à La Une de Logo Paperblog

A propos de l’auteur


Romainbochet 5 partages Voir son profil
Voir son blog

l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte

Dossiers Paperblog

Magazine