Et vous ? espionnez-vous vos utilisateurs ?

Par Olivier, jeudi 31 mai 2007 à 00:00 :: LinuxFR :: #444 :: rss

Texte initialement publié sur LinuxFR

D'après cet article[1], 1 admin sur 3 userait de ses «superpouvoirs» pour espionner tranquillement les utilisateurs. Tremblez, braves gens...

Plus sérieusement, je dois déjà vous dire que l'étude dont il est question est rédigée par une société qui base son business sur la sécurité[2]. Il faut donc prendre l'orientation du texte avec méfiance. Par exemple, on nous dit aussi qu'un tiers des personnes interrogées pourraient continuer à espionner après leur départ de l'entreprise. Ah, c'est donc le même 1 sur 3 qui espionnait déjà dans l'entreprise, rien de nouveau donc. A part que la sécurité est tellement trouyeautée que «personne ne puisse les en empêcher». Faut dire que si il passe son temps à lire les histoires de c*l entre les patron(ne)s et les assistant(e)s, c'est sûr qu'il a pas trop le temps de faire son boulot...

D'ailleurs, pour enfoncer le clou, la même étude vous explique qu'en plus d'être trop curieux, ils sont aussi incompétents... 50% notent les mots de passes sur des post-it, 18% dans des «feuilles excel» (et dans gnumeric, ça compte pas ?). Et le top du top, ce sont les 7% qui ne changent jamais leurs mots de passe, et les 8% qui gardent les mots de passe du fabricant...

Bref, maintenant que vous êtes bien alarmé, et que vous avez signé le précieux bon de commande pour le produit miracle de la boîte en question, revenons un peu au fond du sujet.

Il est clair qu'un administrateur système en sait beaucoup sur ses utilisateurs, parfois plus qu'il ne le souhaite lui-même. Il est possible aussi que parfois certains soient un peu trop curieux, mais je ne pense pas que ce soit une majorité. Je me trompe peut-être ? Dans la plupart des cas que j'ai rencontré, c'est plutôt les utilisateurs qui vous livrent plus que ce que vous leur demandez, en arrivant quand même à oublier de dire la seule utile que vous attendiez.

De toute façon, il n'y a même pas besoin d'être curieux pour en apprendre tous les jours sur les m½urs de tel ou tel. Surtout quand on travaille dans les services informatiques, et pas besoin d'être admin, la hotline c'est encore mieux...

Parmi les anecdotes vécues, le champion toute catégorie restera un certain directeur régional, qui après avoir épuisé toutes les ressources possibles, de la hotline à l'administrateur, a convoqué le directeur de compte pour se plaindre. Après discussion sur le ton de la «confidentialité», il se trouve que le problème était un codec exotique manquant pour lire le dernier pr0n circulant sur le réseau.

Ou encore, ce directeur qui déclare sa flamme à sa secrétaire en mettant les 3000 employés en copie...

Et pour conclure en revenant aux admins, il manque un chiffre dans cette étude: combien utilisent un unix ? parce que de mon expérience, l'attitude d'un admin 100% windows, ou d'un admin mixte ou 100% *nix est totalement différente sur ces question, mais je n'ai pas de statistiques...

À vous les studios.

[1] http://www.reseaux-telecoms.net/actualites/lire-les-services(...)
[2] http://www.cyber-ark.com/

Trackbacks

Aucun trackback.

Les trackbacks pour ce billet sont fermés.

Commentaires

1. Le jeudi 31 mai 2007 à 10:29, par Mathieu Stumpf

C'est vrai!

Un admin unix se fera un script perl pour obtenir les informations les plus croustillantes, sans avoir à trier manuellement. \o/

2. Le jeudi 31 mai 2007 à 10:49, par Calim' Héros

7%...

Merde je fais parti des 7% :(

Bon je me rassure en me disant que j'ai plein de mdp différents et que je les connais tous par c½ur et qu'ils sont assez bien formés (même si je peut mieux faire), mais je les change jamais... c'est grave docteur?

3. Le jeudi 31 mai 2007 à 11:01, par Christophe Merlet

On parle de qui là ?

Quand ils parlent d'administrateurs système dans cet étude, ils parlent bien de ceux ou ya vraiment marqué "administrateur système" sur la feuille de paye, ou du premier pignouf venu a qui on a dit que dorénavant c'est a lui de gérer le parc info de l'entreprise ?

Ensuite, la question n'est pas de savoir si oui ou non l'admin sys espionne les utilisateurs, mais de savoir si il respecte le secret professionnel.

4. Le jeudi 31 mai 2007 à 11:27, par ZeBob

Re: On parle de qui là ?

Ensuite, la question n'est pas de savoir si oui ou non l'admin sys espionne les utilisateurs, mais de savoir si il respecte le secret professionnel.

Euh rappelle moi le numéro de ton UMR…

5. Le jeudi 31 mai 2007 à 11:28, par Lucas Bonnet

Re: On parle de qui là ?

Ouaip, d'accord avec toi, il peut tout à fait se retrouver à « espionner » involontairement les utilisateurs en lançant un grep sur les mails pour trouver un fichier, ou en faisant un scan du trafic avec wireshark.

6. Le jeudi 31 mai 2007 à 11:31, par Dabowl_92

Re: 7%...

ben les mots de passe sa sux surtout

authentifie toi avec une clé, ainsi tu n'as qu'une chose à retenir, le passhrase....

et quand tu fais des rebonds de machine en machine, ssh te permet de faire du SSO avec l'agent forwarding...

7. Le jeudi 31 mai 2007 à 11:34, par Krunch

ce que j'ai appris en administrant le réseau familial

Je ne veux pas savoir ce que font mes parents sur le web.

8. Le jeudi 31 mai 2007 à 11:51, par Christophe Merlet

Re: On parle de qui là ?

Je te trouve bien informé... ! Tu m'espionnes ;o)

9. Le jeudi 31 mai 2007 à 12:01, par Obsidian

Quelques remarques ...

(et dans gnumeric, ça compte pas ?)

Non, car la majorité des neuneus ne parviendront pas à ouvrir le document :-)

Ou encore, ce directeur qui déclare sa flamme à sa secrétaire en mettant les 3000 employés en copie...

Je ne suis pas encore persuadé qu'il ne l'ait pas fait exprès ...

10. Le jeudi 31 mai 2007 à 12:23, par Will Hunting

Vécu

Pour le fichier excel, je confirme. Un de nos admins avait laissé sur un serveur de fichiers, un fichier contenant tous les mots de passe de messagerie de tous les utilisateurs de la boîte dans un répertoire accessible à tous...

11. Le jeudi 31 mai 2007 à 12:59, par FiFouille

Re: 7%...

et de permettre aux collègues administrateurs de s'amuser un peu aussi :
http://www.informit.com/articles/printerfriendly.asp?p=47109(...)
voir la partie sur l'utilisation du 'socket' ouvert par l'agent forwarder, simple, efficace, diabolique.

12. Le jeudi 31 mai 2007 à 13:08, par Thomas Pedoussaut

Ca s'appelle l'ethique non ?

Perso, j'adhere totalement a cet code ethique:
http://www.sage.org/ethics/

Et je ne manque pas de le mentionner quand je doit faire une intervention qqpart. Genre sur le PC perso du boss. "Je peux être ammené à lire des mails confidentiels, je me fous du contenu, je me shoote aux headers".

13. Le jeudi 31 mai 2007 à 13:41, par Philippe

Légalement sa donne quoi ?

Ce que beaucoup d'informaticiens, administrateurs oublient, est qu'ils sont tenu par (les... non pas là) le secret professionnelle. Donc tout comme un medecin, les raisons de divulger ces informations ou de les utiliser sont très réglementées. Le plus dommage dans ces lois est qu'elles sont souvent non apprisent pendant les études des ces informaticiens (je parle de vrai, pas des bricoleurs). Et c'est vraiment dommage car ils s'exposent à de grave problèmes.

14. Le jeudi 31 mai 2007 à 14:08, par Mais qui suis-je ? :)

Re: 7%...

J'ai acces à une ferme de calcul sur laquel il faut que je change mon mot de passe tout les 6 mois.
Franchement c'est ch...
Il y a deux ecoles
-Ceux qui incremente le mot de passe i.e superpas0 superpas1 superpas2 etc...
-Et ceux qui en trouvent des plus con les un que les autres tous les 6 mois,
La conséquence c'est que le temps de m'habituer au nouveau mot de passe je le garde sur un post it sur mon ecran pendant une semaine...

Pour mes autres machines je garde toujours le même mot de passe...

15. Le jeudi 31 mai 2007 à 16:03, par Axel R.

Re: Vécu

d'où l'avantage d'utiliser le même mot de passe pour tous les utilisateurs de la boîte, y'a pas à utiliser Excel...

Franchement, je pense qu'il y a une juste proportion à respecter entre ce qu'on veut protéger et la difficulté qu'on se donne pour le protéger.

Quand j'étais trésorier d'une association, je laisse sans soucis les comptes de l'asso à disposition sur notre site internet (sans mot de passe). J'éprouvais déjà les pires difficultés à ce que les membres lisent le compte rendu financier, si un "pirate" s'était donné la peine de récuperer les comptes pour les lire, ça m'aurait fait super plaisir.

Axel

16. Le jeudi 31 mai 2007 à 18:53, par Marcopolo

Ca ne m'etonne pas

En tant que l'un des developpeurs de phpMyVisites, on nous demande tous les jours d'avoir de infos par utilisateur, adresse ip etc. On a souvent du mal à expliquer la difference entre flicage et statistiques.

17. Le jeudi 31 mai 2007 à 19:10, par PloufPlouf

non

Moi , je fais pas, j'appelle ça ma déontologie professionnelle

Mais ca amène à réfléchir sur notre corporation, qui n'est justement pas corporatiste.
A quand un syndicat, une charte de déontologie, une grève ?

Ca serait bien que les informaticiens s'organisent, et que soit encadrer ces fameux super-pouvoirs.

En vous remerciant

RM

18. Le jeudi 31 mai 2007 à 19:43, par Philou Kapouik

la seul chose qui me rassure ....

C'est qu'on à pas les mot de passe sur des post it sinon dans ma boite y a plein d'autre truc catastrophique pour la sécurité ....

On peut pas y croire tant qu'on ne le voie pas et quand on est obliger de faire une politique laxiste sur les mot de passe et que les users nous disent que c'est minable pour la sécurité on se sent vraiment minable mais comme on dit c est le patron qui décide.

19. Le jeudi 31 mai 2007 à 21:49, par Merlin

Re: 7%...

Je suis dans les 50% (le temps de les mettre dans la base de donnees), les 18% (plus pour longtemps : on a une base de donnees maintenant), les 7% (si on change les mdps trop souvent les clients vont finir par raler) et les 8% (pour des serveurs accessibles en interne seulement). Et pour les serveurs qui n'ont pas de mdp par defaut, on met le nom de la boite...
C'est grave ?
Et je suis 90% Linux, 5% Solaris et 5% Windows...

20. Le jeudi 31 mai 2007 à 23:00, par Matthieu C

Re: Vécu

Certains admins mettent un mot de passe generique pour la messagerie et comme la majorité des users veulent pour avoir leur mail dans oulook (et ne pige pas qu'il faut changer le mdp), ben la pluspart des comptes sont acessibles par le mdp par defaut...

21. Le jeudi 31 mai 2007 à 23:01, par Khanh-Dang

Re: C'est vrai!

Ou de l'art d'utiliser les filtres bayésiens des détecteurs de spams pour l'espionnage.

22. Le vendredi 1 juin 2007 à 04:28, par LeMagicien Garcimore

Re: ce que j'ai appris en administrant le réseau familial

oui mais nous on veux savoir ! Raconte ! /o\

23. Le samedi 2 juin 2007 à 11:03, par Guillaume Rossignol

Re: Vécu

En même temps, les comptes de l'asso, ce n'est pas vraiment critique comme donnée. Est ce que tu aurais laissé un listing de tout les adherents avec adresse, numero de telephone, adresse mail etc. en libre consultation sur le site internet ?

Il me semble que c'est la moindre des choses que le collegue ne puisse pas lire le contenu de ma boite mail. En plus, avoir acces à la boite mail du collegue, c'est aussi pouvoir envoyer des mails tout comme si c'etait lui qui les avait écrits...

Mais sur le fond je suis d'accord, il faut savoir evaluer ce que vaux ce qu'on veut securiser et ne pas y depenser tout son pognon.

24. Le dimanche 3 juin 2007 à 22:14, par Krunch

Re: Vécu

avoir acces à la boite mail du collegue, c'est aussi pouvoir envoyer des mails tout comme si c'etait lui qui les avait écrits...
Envoyer un e-mail en usurpant l'origine c'est trivial même sans accès à la mbox de l'usurpé.

25. Le mercredi 6 juin 2007 à 12:28, par Axel R.

Re: Vécu

En même temps, les comptes de l'asso, ce n'est pas vraiment critique comme donnée.

Et les mails professionnels non plus, 99% des messages que je reçois sont destinés à plusieurs personnes de mon service (quand ce n'est pas l'ensemble de la boîte qui est en copie pour une note de service au sujet de la machine à café).

Encore une fois, la protection des données dépends de ce qu'on veut protéger...

Ajouter un commentaire

Les commentaires pour ce billet sont fermés.

Olivier Guerrier