Retour sur des campagnes d'audits de sécurité
Page 2 sur 3
Le mur de la honte
Les principales vulnérabilités relevées sur des infrastructures auditées restent très traditionnelles :
- gestion des mots de passe, comptes par défaut,
- absence de mises à jour, tout particulièrement sur des systèmes en production, y compris lorsqu'il existe des outils d'exploitation publics,
- injection de commandes, SQL, etc.
- XSS et CSRF
- installations et configurations non sécurisées, configurations par défaut,
- échanges en clair (principalement pour des échanges internes),
- gestion non sécurisée des sessions des utilisateurs (manipulation de cookies, modifications d'URLs, absence d'invalidation des cookies en fin de session),
- stockage non sécurisé des mots de passe,
- imprimantes multifonctions contenant "tous les secrets" de l'entreprise,
- post-its et notes sensibles sous les claviers ou en des lieux non sécurisés. Ces informations sont parfois photographiées par des tiers (car c'est amusant/ridicule) et mis en ligne.
En bref, ce sont des vulnérabilités sans aucune originalité, du déjà-vu depuis plus de 15 ans.