La cyberattaque subie par Free au mois d’octobre dernier avait marqué par son ampleur. Aujourd’hui, on saurait enfin comment le hacker aurait procédé.
https://clubic.com//actualite-546638-cyber-attaque-de-free-on-connait-le-fin-mot-de-l-histoire.html
Je me disais bien. La plupart des attaques ne passent pas par une faille du matériel, mais plutôt de l’humain.
Le social engineering a encore de beaux jours devant lui !
C’est incroyable que malgré tout le tapage qui est fait sur le « ne donner a personnes vos mots de passe » partout, tout le temps, inlassablement, répété encore et encore, des gens qui travail dans le domaine des IT/Télécom les donnes !!!?
Dans ma boite, tout les p*t**n d’année, nous avons une formation sur la sécurité informatique… TOUT LES ANS !!! moi qui m’en plaignez, je comprend mieux pourquoi ça revient tout les ans maintenant, par contre ils font quoi chez Free ?
C’est dû au fait que les structures sont souvent trop compliquées.
Quand quelqu’un a besoin d’un accès c’est général tout de suite, s’il faut passer par un responsable qui va contacter la DSI ça peut prendre des jours pendant lesquels la personne ne pourra pas travailler car ça ne se limite pas à créer un compte Windows, il faut souvent monter tout un environnement, si jamais il y a un problème car un détail important a été oublié, ça va reprendre encore des jours.
Il y en a aussi qui font expirer les mots de passe ou même les comptes s’ils ne sont pas utilisés sur une longue période ce qui implique pareil des complications.
C’est pour cela que les identifiants sont échangés en entreprise.
Ça me rassure du fait que maintenant on sait que le réseau est sécurisé, mais en même temps free ne semble avoir mis les moyens dans la formation ou la sensibilisation du personnel.
J’avais bien dit que ce hacker était un gros nul et que c’était aussi un inside job !
cherchez mes com.
visiblement ils ne sont pas au top sur l’ ISO 27001…
C’est justement pour éviter de donner à n’importe qui des droits qu’il n’est pas censé avoir qu’il y a ces procédures… Les supprimer ne réglerait donc strictement rien.
Le problème c’est plutôt bien souvent un manque d’anticipation de la part du management. Un nouvel employé arrive rarement du jour au lendemain, donc on si le manager anticipe bien les demandes de création de comptes, même s’il y a quelques jours de délai, les comptes peuvent être prêts quand la personne arrive.
J’ai pu bien constater ça dans une entreprise où j’ai été 2 fois nouvel arrivant avec 2 managers différents. Avec le premier, mon PC était prêt, avec tous mes accès, le jour où je suis arrivé. Le deuxième il a demandé le PC la veille (du coup, pas là le jour J, le temps qu’il soit livré…) et les accès le jour de mon arrivée. Forcément y avait rien de prêt… Et dans les deux cas j’ai pu constater la même chose avec ceux arrivés après moi dans l’équipe, donc c’était pas des aléas passagers, juste un manager qui était pas à sa place.
Idem, dans ma boîte j’ai aussi une f*cking formation en cyber sécurité tout les ans et comme toi, je comprends mieux pk maintenant 
C’est pas étonnant quand on voit les outils, prestataires et procédures qui changent tous les 4 matins en entreprise. En plus il y a toute une gamme de façon de faire en fonction des outils pour la gestion des mots de passe (du plus crade envoyé en clair par quelqu’un, au plus sécure).
Quand on est habitué à avoir affaire à des situations inhabituelles, c’est pas surprenant que statistiquement une partie des employés tombent dans le panneau.
Pour les emails de phishing ça commence à renter grâce à une grosse alerte quand un email vient de l’externe et des entraînements piège tous les mois…
Coquille : « De quoi mettre Frer mal à l’aise »
Bonjour,
A la fin de l’article, c’est pas free plutôt que Frer ?
Mais bon, le fait que la faille ait été humaine ne m’étonne pas…
Les gens sont / souvent parfois naïfs…ils pensent bien faire et pensent surtout que ça ne leur arrivera pas…
Je n’arrive pas à comprendre comment une telle boite n’a pas mis en place une connexion MFA à ces services, un simple openvpn c’est un peu léger non ?
Surement parce que c’est trop cher.
Ceux qui font des solutions de double authentification ne font pas l’effort de sortir des versions Windows y compris Microsoft, c’est souvent uniquement sur téléphone. Ca implique donc de fournir en plus en plus un téléphone à chaque utilisateur, un forfait car souvent il faut en plus un numéro de ligne pour recevoir des SMS, gérer les hors forfaits, les SAV etc…
Le coût de gestion de cet fuite de données et de ses conséquences directes dépasse sans doute largement ce qu’aurait coûté la mise en place d’une double authentification.
Sans même parler du coût en image et des pertes de CA que ça va impliquer.
La double authentification de Microsoft, c’est du TOTP RFC 6238 tout ce qu’il y a de plus standard, il y a plusieurs d’implémentations disponibles sous Windows. Alors oui, y a pas celle de Microsoft. Mais comme c’est un standard, on s’en fout, y a pas besoin absolument d’utiliser le logiciel de Microsoft…
Au pire même s’il n’y en avait pas, le coût pour en développer une en interne dans une boîte comme Free, c’est absolument négligeable. Il y a des libs open source pour le faire, y a juste à packager ça dans une application avec une UI basique. Ça prend la journée à un dev compétent, donc même en ajoutant derrière une bonne phase de validation et le coût du déploiement, on est tout au plus sur quelques milliers d’euros.
Alors non seulement en 2024 y a quand même plus grand monde qui n’a pas de téléphone. En plus là on parle d’un opérateur téléphonique, qui peut donc en fournir à moindre coût à son personnel… Celui qui n’a pas de téléphone, ça coûte moins de 30€ à Free de lui en fournir un.
Ensuite, non, la double authentification ne nécessite pas forcément un téléphone. Il y a des alternatives, comme par exemple une carte à puce PKI ou une clé USB FIDO. Dans les deux cas on est largement sous les 30€ de matos par personne.
Les agents du service clients de Free sont de vrais cowboys, y compris ceux des Free Proxi. Ils n’hésitent pas à raconter n’importe quoi et même à dénigrer les services proposés par Free ou les services internes de Free. C’est hallucinant ! Je ne suis pas surpris dans ces conditions que certains fassent ce genre de connerie.
« Bonjour, Je vous appelle pour avoir le compte root/admin de tous vos serveurs. »
« Oui, bien sûr monsieur, je vous donne ça tout de suite… »
La bêtise et la naïveté humaine dans leur sa splendeur ^^
Quand tu fais gérer ton centre d’appel au Maroc par un partenaire tiers le maitre mot est rentabilité, ROI, marge et pas la formation ou la sensibilisation de la cybersécurité
Ah nous c’est tous les mois (bon ça dure généralement 5 minutes donc ça va). Et aussi environ 1 mail tous les mois de test de phishing, si tu te fais avoir trop souvent (à cliquer sur le lien), ils ont des stats et t’es probablement bon pour une formation spéciale ^^.