un site indiscret

A force de discuter à droite à gauche, il faut constater que beaucoup de sites Internet sont très indiscret.

Je vous propose ici une petite démonstration « grandeur nature » du problème posé par une configuration un peu « faible » d’un serveur comme Apache.

Au départ, nous avons une site web proposant une zone d’accès restreint sur authentification (un Intranet par exemple)

J’utiliserai ici IE comme client identifié (donc ayant accès au contenu secret et protégé) et Opéra representer un visiteur quelconque (sans droit sur le site).

Ma petite démonstration fonctionne quelque soit le navigateur! C’est juste parce que plus pratique pour moi.

En arrivant sur le site, tout le monde voit la même chose:

visiteur

Une fois identifié, nous voyons apparaître un nouvel article (appelé « article secret »)

identifie

On accède donc librement au l’article et aux fichiers joints qu’il contient

article-secret

 

Même si  notre visiteur ne peux pas accéder à l’article confidentiel, il n’a aucune difficulté à accès au document en remontant simplement les sous-dossiers de site.

Il tombe d’abord sur  la liste des fichiers du répertoire courant

liste

 

Il n’a plus qu’à choisir le fichier pour l’ouvrir simplement ou le télécharger…

acces-au-fichier

Bien entendu, ce visiteur lambda peut être le robot de Google et votre super fichier secret devient très largement accessible avec encore moins d’effort.

Avec un simple de réglage du serveur, on interdit tout bêtement le parcours des dossiers et le visiteur indiscret trouve au minimum un message d’erreur.

acces-403

Si votre administrateur est un semi Dieu (s’il a ouvert un jour les howtos d’Apache), il saura rediriger ces erreurs vers soit votre page d’accueil soit un formulaire  destiné à l’informer du problème.

Sachez aussi qu’en cherchant si votre site comporte une page toto permet très souvent de récupérer la version de votre serveur et son système d’exploitation. (essayez l’adresse votresite.com/toto)

Fort de ces éléments il suffit de compulser les bases de vulnérabilités connus pour trouver des failles exploitables.

Si vous êtes dans le cas de figure que je décris ici virer votre administrateur ou votre prestataire! Etant à la recherche d’un emploi,  je me ferai un devoir de sécuriser votre site et votre parc. 😉

Merci à l’association CapSudOuest de m’avoir permis d’utiliser son site pour ma démonstration

Echanger avec Box.net

Pour répondre à la question précédente (« Comment savoir la garantie qu’un mail a été lu?),  je vous propose de découvrir un premier service de travail collaboratif en ligne box.net, et son utilisation pour tracer des échanges de documents. 

Ce service est très simple et sa traduction en français est « presque  » complète

 L'interface de box.net

 

Dans mon exemple, je veux transmettre un fichier PDF à un tiers  sans risque qu’il accède à mes autres documents partagés et sans que mes autres contacts ne soient avisés de cet échange.

Je commence par créer un dossier spécifique et je le partage qu’avec ce contact

box2

 

Mon contact reçoit alors un premier mail que je l’invite à participer à ce dossier. Je peux ici autoriser mon « invité »  en lecture seule ou pas. Il doit alors accepter cette invitation, s’il n’a pas encore de compte, il pourra alors en créer un.

En attendant son accord, je télécharge mon fichier dans ce dossier avec la fonction « Uploader ».

  Tres tres bons ebook! je vous le conseille  ;-)

 
  Je vous conseille en passant cette excellent ebook!

 On va pouvoir activer le partage en cliquant simplement sur « partager »

box90

 

La plateforme va alors envoyé un email à mon collaborateur (et à moi-même) l’informant de la présence de ce nouveau fichier. Il pourra alors y accéder, le commenter, …

Mais plus intéressant pour nous, dès qu’il aura téléchargé ce fichier nous recevrons un mail  de confirmation. Cette information se retrouve aussi sur notre tableau de bord en ligne

box97

C’est une utilisation un peu détournée du produit mais c’est plutôt simple et efficace. Je vous laisse découvrir les autres fonctionnalités par vous même mais sachez qu’il est possible d’inclure des signatures numériques.

J’avais listé les principales fonctions attendues

1- disponibilité et intégrité des données échangés -> ici c’est au moins aussi garanti qu’avec un simple mail…

2- confidentialité des échanges -> les autres « collaborateurs » ne voient rien de cet échange, la garantie est au moins égale à celle d’un échange par mail.

3- La date d’émission comme de réception sont incontestables -> le système envoi automatiquement des mails sans action de l’utilisateur et quelques soient les réglages de sa messagerie. C’est donc bien supérieur aux mails

4- L’accès aux données est protégé -> la protection par mot de passe n’est pas beaucoup plus sécurisée que celle des mails. Les échanges ne sont pas chiffrés que pour un abonnement professionnel (et payant)

 

Dans la mesure ou le destinataire doit faire la démarche d’aller télécharger le document, il ne peut pas contester la réception.

Bien sûr, vous ne pourrez plus le « forcer » à recevoir quelque chose contre sa volonté.  Mais, est-ce vraiment un problème ?

Par les temps imbéciles qui courent, un dernier rappel s’impose pour vos échanges de fichiers:

Ne piratez pas!

Le fait de payer des taxes sur les médias et autres mémoires n’est pas une excuse …