Les nouvelles se suivent après le vol de données d’Equifax et elles font remonter des cadavres à la surface. Le dernier en date concerne un site web argentin paré de la plus médiocre combinaison login-mot de passe : Admin – Admin !!
Incompétence ou erreur professionnelle?
La cause de cette anormalité n’est pas à chercher uniquement auprès de l’administrateur qui a réussi à paramétrer un tel login-mot de passe. En effet, des principes de base devraient logiquement permettre d’éviter de telles aberrations comme par exemple:
[aesop_image imgwidth= »400px » img= »https://dcod.ch/wp-content/uploads/2017/04/8df45ff9-c3ec-4da8-a3a2-e98d1fedb3d2.png » credit= »People-Process-Techno » alt= »La combinaison People-Process-Techno » align= »center » lightbox= »on » captionposition= »right » revealfx= »fromright » overlay_revealfx= »off »]- des processus de gestion des changements prévoyant des revues sécurité avant les mises en production. C’est également une occasion d’inclure un contrôle 4-yeux indépendant.
- des outils de contrôles et des audits de sécurité pour s’assurer qu’il n’existe pas de failles et vulnérabilités béantes
- et surtout de la formation et la sensibilisation de tout le personnel IT (et pas seulement les administrateurs web).
Tous ces vols de données nous rappellent que les bases essentielles de la sécurité ne sont pas maîtrisées. Les outils de sécurité s’accumulent mais des maillons essentielles de la chaînes de sécurité (ou la kill chain) sont omis. C’est là que l’on peut alors parler d’erreur professionnelle.
Equifax Website Secured By The Worst Username And Password Possible
How do you secure sensitive data that’s stored in a web-based app? Not with a username and password like admin/admin, that’s for sure.
Equifax had ‘admin’ as login and password in Argentina
Credit report firm is accused of using « admin » as a login and password for its Argentine business.
A lire également ici sur le même ton à propos de cette actualité:
The Equifax Breach and 5 Years of Missed Warning Signs
The Equifax Breach and 5 Years of Missed Warning Signs
C’est peut-être la bonne occasion de rappeler qu’il existe des sets de bonnes pratiques de base telles que proposé par l’ANSSI:
https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/
Cliquer pour accéder à guide_hygiene_informatique_anssi.pdf