Edition du 29/05/2008 - par david Lentier avec IDG News Service

Il en faut beaucoup pour choquer Chris Goggans. Il réalise des tests d'intrusion depuis 1991. Mais il affirme que rien n'a jamais été aussi flagrant que les manques de sécurité à la fois dans les infrastructures et dans la gestion des correctifs, d'une agence civile gouvernementale sur laquelle il a récemment travaillé.

Un travail de routine au départ
Les failles étaient telles qu'il a pu aller jusqu'à une base de données sensibles du FBI sur des informations liées au crime, en moins de six heures. Chris Goggans est consultant chez PatchAdvisor. Il avait commencé par un travail de routine de passage en revue (« scan ») du réseau. Il a alors découvert une série de vulnérabilités non corrigées dans un serveur Web d'une agence gouvernementale, ainsi que dans d'autres parties de l'entreprise. A partir d'une faille dans le serveur Web, Chris Goggans a récupéré des noms d'utilisateurs et des mots de passe, qu'il a réutilisés sur d'autres systèmes de l'entreprise.

Prise de contrôle d'une machine de la Police
Sur ces systèmes, il trouvé d'autres détails sur les comptes des utilisateurs qui lui ont permis de récupérer des privilèges d'administration de domaines sur le réseau Windows. Dès lors, il a pu prendre le contrôle de quasiment toutes les machines Windows de l'entreprise, y compris un poste de travail utilisé par la Police. Il a ainsi remarqué que plusieurs des postes de travail des forces de police, possédaient une seconde carte réseau, selon le protocole SNA, directement connectée vers un Mainframe IBM. En installant clandestinement un logiciel ...

Page suivante (2/3) >