Bunker Oakley : Quand on ne peut pas entrer par la grande porte, on peut toujours passer par la petite porte ! |
Bienvenue invité ( Connexion | Inscription )
Bunker Oakley : Quand on ne peut pas entrer par la grande porte, on peut toujours passer par la petite porte ! |
Aug 21 2008, 10:09 PM
Message
#1
|
|
X-Metal Groupe : Membres Messages : 584 Inscrit : 23-February 08 Lieu : Aire sur la Lys (France) Membre no 51 |
Voici un petit article trouvé dans la presse dans lequel on apprend que le système informatique de Oakley a (ou du moins a pu) être piraté.
Moi qui pensais que la sécurité informatique de Oakley était à l'image de la firme (au top !) et qu'à ce titre le réseau était protégé par une flotte de firewalls ! Mais relativisons, apparement il s'agit plus de données administratives que techniques / secrètes sur les produits, brevets ... Tant que ces les hommes feront l'informatique, il y aura des failles A noter que l'article date quand même de l'an dernier >> c'est ici ! << |
|
|
Aug 21 2008, 10:41 PM
Message
#2
|
|
X-Metal Groupe : Membres Messages : 618 Inscrit : 15-July 08 Lieu : Paris Membre no 179 |
Il devraient acheter des macs !!
|
|
|
Aug 21 2008, 11:07 PM
Message
#3
|
|
X-Metal Groupe : Membres Messages : 584 Inscrit : 23-February 08 Lieu : Aire sur la Lys (France) Membre no 51 |
[quote name='arno' post='2186' date='Aug 21 2008, 11:41 PM']Il devraient acheter des macs !! [/quote]
Ah oui bien vu, mort de rire ! |
|
|
Aug 22 2008, 07:11 AM
Message
#4
|
|
X-Metal Groupe : Membres Messages : 233 Inscrit : 18-March 08 Lieu : paris Membre no 68 |
Si vous avez lu l'article, Mac ou PC ce n'est pas ça qui aurait changer grand chose...mais revoir la gestion de la DMZ, limiter l'accessibilité au serveur aux adresses IP locales et ajouter une authentification ne ferait pas de mal
|
|
|
Aug 22 2008, 08:39 AM
Message
#5
|
|
X-Metal Groupe : Root Admin Messages : 1,180 Inscrit : 5-December 07 Lieu : Levallois - Perret Membre no 2 |
C'est une info qu'Admin avait relayée avant le crash du site oakleyfr. Cool de l'avoir retrouvée.
Pour revenir à la boulette, le fait qu'ils aient laissé l'accès à leur base de données des contacts et magasins partenaires est déjà un très gros problème. Mais en plus de ça, tout était modifiable/supprimable !!! Là c'est carrément la grooOOOooosse boulette ! Je pense que le plus haut responsable informatique a du se faire détruire en bonne et due forme. |
|
|
Aug 22 2008, 09:20 AM
Message
#6
|
|
Wire Groupe : Membres Messages : 79 Inscrit : 16-December 07 Lieu : Maurepas Membre no 16 |
Effectivement grosse boulette!!! Et dire qu'on aurait pu se crée un magasin virtuel et profiter des tarifs grossiste
C'est pas forcément très légal mais ca vous aurait pas tenté(e)??? |
|
|
Aug 22 2008, 09:30 AM
Message
#7
|
|
X-Metal Groupe : Root Admin Messages : 1,180 Inscrit : 5-December 07 Lieu : Levallois - Perret Membre no 2 |
Oh que si ... par contre, ils ont quand même des logs sur leur serveurs ... enfin, j'espère.
Donc ils auraient eu vite fait de retrouver qui a ajouté "le magasin" en question. |
|
|
Aug 22 2008, 10:33 AM
Message
#8
|
|
Administrator Groupe : Banned Messages : 330 Inscrit : 2-December 07 Lieu : Paris Membre no 1 |
Mouahahah !
Un bon proxy ou des bornes wifi suffisent pour être anonyme sur le net... |
|
|
Aug 22 2008, 10:35 AM
Message
#9
|
|
X-Metal Groupe : Root Admin Messages : 1,180 Inscrit : 5-December 07 Lieu : Levallois - Perret Membre no 2 |
Merci du tuyau
|
|
|
Aug 22 2008, 10:44 AM
Message
#10
|
|
Wire Groupe : Membres Messages : 79 Inscrit : 16-December 07 Lieu : Maurepas Membre no 16 |
T'est sacrément au courant ma chère Admin!!!!
Par contre si je retrouve le con de hacker qui a supprimé de la liste le O Store Paris , va passer un sale quart d'heure |
|
|
Aug 22 2008, 03:28 PM
Message
#11
|
|
X-Metal Groupe : Membres Messages : 233 Inscrit : 18-March 08 Lieu : paris Membre no 68 |
[quote name='Admin' post='2198' date='Aug 22 2008, 11:33 AM']Mouahahah !
Un bon proxy ou des bornes wifi suffisent pour être anonyme sur le net...[/quote] wep suffit de connaitre les proxy qui ne conservent pas les logs |
|
|
Aug 22 2008, 11:15 PM
Message
#12
|
|
X-Metal Groupe : Membres Messages : 584 Inscrit : 23-February 08 Lieu : Aire sur la Lys (France) Membre no 51 |
[quote name='metalicow' post='2210' date='Aug 22 2008, 04:28 PM']wep suffit de connaitre les proxy qui ne conservent pas les logs [/quote]
De toute facon, je vois ce qu'une DMZ aurait changé. Dans une DMZ on met son site web, accessible de l'interieur comme de l'exterieur du reseau informatique de la société. Les données accédée là étaient des données internes du réseau LAN ou bien du type intranet pour les shops : ca n'a donc rien à faire en DMZ ! Effectivement, c'est bien un problème d'authentification inexistante sur l'intranet ou un manque de chiffrement ou de VPN. |
|
|
Aug 23 2008, 12:43 AM
Message
#13
|
|
X-Metal Groupe : Membres Messages : 233 Inscrit : 18-March 08 Lieu : paris Membre no 68 |
Tu ne vois pas en quoi une DMZ bien configurée aurait changé qq chose ? Dommage car tu avais pourtant la réponse :
[quote name='yodu180' post='2221' date='Aug 23 2008, 12:15 AM']Dans une DMZ on met son site web, accessible de l'interieur comme de l'exterieur du reseau informatique de la société. Les données accédée là étaient des données internes du réseau LAN ou bien du type intranet pour les shops : ça n'a donc rien à faire en DMZ ![/quote] (juste pour compléter, la règle d'or de la DMZ : la DMZ ne peut accéder au LAN) Or dans l'article que tu as donné, il est clairement indiqué que le garçon a réussi à atteindre ces pages en passant par Google : "qu'en quelques recherches sur Google, il était possible d'accèder à l'administration de la société". Bref pas besoin d'être un crack en chiffrement ou en VPN. Donc soit il n'y a pas de DMZ et là c'est journée port(e)s ouvert(e)s (jeu de mots facile), soit l'intranet et le site web sont en DMZ (voir sur le même serveur). Comme tu l'as dis, leur serveur devrait être en DMZ et le serveur de l'intranet sur le LAN. <-- intérêt de la DMZ |
|
|
Aug 23 2008, 06:49 AM
Message
#14
|
|
X-Metal Groupe : Membres Messages : 584 Inscrit : 23-February 08 Lieu : Aire sur la Lys (France) Membre no 51 |
[quote name='metalicow' post='2223' date='Aug 23 2008, 01:43 AM']Tu ne vois pas en quoi une DMZ bien configurée aurait changé qq chose ? Dommage car tu avais pourtant la réponse :
(juste pour compléter, la règle d'or de la DMZ : la DMZ ne peut accéder au LAN) Or dans l'article que tu as donné, il est clairement indiqué que le garçon a réussi à atteindre ces pages en passant par Google : "qu'en quelques recherches sur Google, il était possible d'accèder à l'administration de la société". Bref pas besoin d'être un crack en chiffrement ou en VPN. Donc soit il n'y a pas de DMZ et là c'est journée port(e)s ouvert(e)s (jeu de mots facile), soit l'intranet et le site web sont en DMZ (voir sur le même serveur). Comme tu l'as dis, leur serveur devrait être en DMZ et le serveur de l'intranet sur le LAN. <-- intérêt de la DMZ[/quote] Oui, je suis d'accord avec toi mais j'ai besoin d'un eclaircissement (heureusement qu'on est dans la rubrique "vrac" : La base de données probablement commune aux deux (à l'intranet du LAN et eventuellement au site web en DMZ), tu la met ou ? Moi je l'imagine bien en LAN, c pour ca que je disais que la DMZ devait avoir accès au LAN pour accéder à la BD. Et j'imagine que la passerelle dans ce cas un parefeu régule les accès au LAN via un certain nombre de règles de filtrage... |
|
|
Aug 23 2008, 07:50 AM
Message
#15
|
|
X-Metal Groupe : Membres Messages : 233 Inscrit : 18-March 08 Lieu : paris Membre no 68 |
[quote name='yodu180' post='2225' date='Aug 23 2008, 07:49 AM']heureusement qu'on est dans la rubrique "vrac" :[/quote]
C'est bien vrai !! Si la BDD est commune c'est le gros gros bordel là : - soit elle est sur le LAN et donc comme tu dis, il faut que le serveur web/intranet en DMZ interroge le serveur BDD sur le LAN --> pas secure du tout puisque tout le monde peut atteindre la DMZ, hop un rebond tu arrives sur le LAN - soit elle est en DMZ (sur le même serveur ?) --> pas secure du tout pour les données de l'entreprise (pour ce que le gars a vu via google toujours bien) Bon après, soit chez Oakley ils sont super cool niveau sécurité de l'information, soit c'est un vieux serveur apache qui tournait mais n'est pu utilisé parce qu'ils sont passés sur SAP D'ailleurs avec le rachat par les Italiens, il y a fort à parier que tout ça a du être remis à plat (gestion commune et centralisée par Luxottica). Je n'ai pas trouvé s'ils étaient chez Telecom Italia (qu'ils ont failli reprendre avec Pirelli-Benetton). Si c'est le cas, il faut s'attendre à de nouvelles failles |
|
|
Aug 23 2008, 09:34 AM
Message
#16
|
|
X-Metal Groupe : Membres Messages : 584 Inscrit : 23-February 08 Lieu : Aire sur la Lys (France) Membre no 51 |
[quote name='metalicow' post='2227' date='Aug 23 2008, 08:50 AM']C'est bien vrai !!
Si la BDD est commune c'est le gros gros bordel là : - soit elle est sur le LAN et donc comme tu dis, il faut que le serveur web/intranet en DMZ interroge le serveur BDD sur le LAN --> pas secure du tout puisque tout le monde peut atteindre la DMZ, hop un rebond tu arrives sur le LAN - soit elle est en DMZ (sur le même serveur ?) --> pas secure du tout pour les données de l'entreprise (pour ce que le gars a vu via google toujours bien) Bon après, soit chez Oakley ils sont super cool niveau sécurité de l'information, soit c'est un vieux serveur apache qui tournait mais n'est pu utilisé parce qu'ils sont passés sur SAP D'ailleurs avec le rachat par les Italiens, il y a fort à parier que tout ça a du être remis à plat (gestion commune et centralisée par Luxottica). Je n'ai pas trouvé s'ils étaient chez Telecom Italia (qu'ils ont failli reprendre avec Pirelli-Benetton). Si c'est le cas, il faut s'attendre à de nouvelles failles [/quote] Quoi qu'il en soit, comme tu dit, le rachat par Luxottica as du donner lieu à des changement machines, architecture reseau et surrement de personnel, l'informatique est peux etre partie en italie ou externalisée et gérée par une société tierse. Laissons leur le benefice du doute |
|
|
Jan 17 2009, 11:20 AM
Message
#17
|
|
X-Metal Groupe : Membres Messages : 233 Inscrit : 18-March 08 Lieu : paris Membre no 68 |
Bonjour à toi Yodu, le yoda de l'informatique
Toi aussi tu as eu des expériences malheureuses avec Telecom Italia ? surprenant ! |
|
|
Version bas débit | Nous sommes le : 23rd April 2024 - 08:02 AM |