SysFailure

Imprimer

Retour sur des campagnes d'audits de sécurité

.

Le mur de la honte

Les principales vulnérabilités relevées sur des infrastructures auditées restent très traditionnelles :

  1. gestion des mots de passe, comptes par défaut,
  2. absence de mises à jour, tout particulièrement sur des systèmes en production, y compris lorsqu'il existe des outils d'exploitation publics,
  3. injection de commandes, SQL, etc.
  4. XSS et CSRF
  5. installations et configurations non sécurisées, configurations par défaut,
  6. échanges en clair (principalement pour des échanges internes),
  7. gestion non sécurisée des sessions des utilisateurs (manipulation de cookies, modifications d'URLs, absence d'invalidation des cookies en fin de session),
  8. stockage non sécurisé des mots de passe,
  9. imprimantes multifonctions contenant "tous les secrets" de l'entreprise,
  10. post-its et notes sensibles sous les claviers ou en des lieux non sécurisés. Ces informations sont parfois photographiées par des tiers (car c'est amusant/ridicule) et mis en ligne.

En bref, ce sont des vulnérabilités sans aucune originalité, du déjà-vu depuis plus de 15 ans.