Equifax et le pire login – mot de passe Un rappel nécessaire des règles minimales d'hygiène informatique

Déroulez ici

Les nouvelles se suivent après le vol de données d’Equifax et elles font remonter des cadavres à la surface. Le dernier en date concerne un site web argentin paré de la plus médiocre combinaison login-mot de passe : Admin – Admin !!


Pour m'offrir un café en échange du travail de veille réalisé gratuitement

Incompétence ou erreur professionnelle?

La cause de cette anormalité n’est pas à chercher uniquement auprès de l’administrateur qui a réussi à paramétrer un tel login-mot de passe. En effet, des principes de base devraient logiquement permettre d’éviter de telles aberrations comme par exemple:

[aesop_image imgwidth=”400px” img=”https://www.ledecodeur.ch/wp-content/uploads/2017/04/8df45ff9-c3ec-4da8-a3a2-e98d1fedb3d2.png” credit=”People-Process-Techno” alt=”La combinaison People-Process-Techno” align=”center” lightbox=”on” captionposition=”right” revealfx=”fromright” overlay_revealfx=”off”]

  • des processus de gestion des changements prévoyant des revues sécurité avant les mises en production. C’est également une occasion d’inclure un contrôle 4-yeux indépendant.
  • des outils de contrôles et des audits de sécurité pour s’assurer qu’il n’existe pas de failles et vulnérabilités béantes
  • et surtout de la formation et la sensibilisation de tout le personnel IT (et pas seulement les administrateurs web).

Tous ces vols de données nous rappellent que les bases essentielles de la sécurité ne sont pas maîtrisées. Les outils de sécurité s’accumulent mais des maillons essentielles de la chaînes de sécurité (ou la kill chain) sont omis. C’est là que l’on peut alors parler d’erreur professionnelle.

Equifax Website Secured By The Worst Username And Password Possible

The Equifax breach that leaked data on 143 million Americans and Canadians was about as disastrous as they come. As Forbes’ Thomas Fox-Brewster pointed out last week, it wasn’t an isolated incident. Equifax has had problems with security before. And now there’s another incident to add to that list.

http://www.bbc.com/news/technology-41257576

A lire également ici sur le même ton à propos de cette actualité:

The Equifax Breach and 5 Years of Missed Warning Signs

Reports that Equifax’s chief information officer along with their chief security officer were retiring should alleviate few concerns and not divert scrutiny from the company’s risk governance standards. While this is not the largest data breach in history, it is quite possibly the most damaging.

C’est peut-être la bonne occasion de rappeler qu’il existe des sets de bonnes pratiques de base telles que proposé par l’ANSSI:

Publication : Guide d’hygiène informatique

Parmi les mesures techniques que les entités publiques ou privées doivent prendre pour garantir la sécurité de leurs systèmes d’information, on qualifie les plus simples et élémentaires d’entre elles d’hygiène informatique, car elles sont la transposition dans le monde numérique de règles élémentaires de sécurité sanitaire.

No Title

No Description

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

La newsletter