LastPass a publié une nouvelle note sur certains des incidents de sécurité dont son gestionnaire de mots de passe a été victime l’an dernier.
Donc si je comprends bien, un ordi personnel a été utilisé pour le travail de l’ingénieur.
Du coup, ça serait cool d’avoir des infos complémentaires. Est-ce que l’entreprise avait sécurisé l’ordinateur de l’employé ?
Avait-elle fourni un ordinateur de travail à l’employé ?
Selon la réponse, ça peut très très vite changer de responsable. Et tel que c’est présenté, tout laisse penser que c’est uniquement la faute de l’ingénieur.
Avec le covid et la multiplication du télétravail, les entreprise n’ont pas toujours joué le jeu en fournissant un ordinateur de qualité pour le travail à domicile. (et je ne parle même pas de l’espace de travail qui doit pouvoir se fermer en fin de journée, dans le droit du travail en france).
7 « J'aime »
Ingénieur DevOps : traduction un mec qui n’est ni assez bon développeur, ni assez bon admin. Ou un bon développeur qui se prend pour un admin, alors qu’admin c’est un métier qui n’a rien à voir.
Coffre fort pro dans un pc perso : traduction faute grave.
Serveur Plex : traduction le guignol utilisait le même poste pour accéder à un réseau sécurisé d’entreprise que pour mater ses divx.
Moralité : donner trop d’accès à des postes transverses c’est une idée pire que de créer ces postes transverses. Enfin c’est ma vision toute personnelle du marasme que devient l’informatique.
4 « J'aime »
Ta vision personnelle est un superbe ramassis de raccourcis de facilité et de « ya qu’a faire autrement ».
Rien que ta vision du Devops est absolument magique.
3 « J'aime »
J’ai lu ça :
et je suis toujours aussi bête 
Pour en revenir au piratage, je pense que nombreuses sont les personnes à se dire : ça n’arrive qu’aux autres.
2 « J'aime »
Ce qui est absolument magique, c’est qu’une boîte se dise « on va embaucher un seul mec pour faire du dev et de l’admin, ça sera mieux que d’embaucher un dev qui fasse vraiment du dev et un admin qui sache vraiment ce qu’il fait sur le serveur. On va le payer à coups de lance pierre (faut pas se leurrer, devops c’est rarement bien payé) mais pour le consoler on l’appellera ingénieur-devops, titre qui n’existe pas officiellement mais c’est pas grave, comme ça tout le monde sera content »
Et quand ça pète, ça tombe sur le devops qui, le pauvre, était peut-être meilleur en dev qu’en admin (en même temps on ne pouvait pas lui reprocher)
Jouer avec le feu en mettant des gens insuffisamment formés sur des postes aussi critiques que de l’admin, ça ne peut qu’amener des catastrophes et j’ai pu le constater dans ma carrière pas mal de fois. J’estime ma vision plutôt réaliste et sans langue de bois.
Les seuls coupables sont ceux qui créent ce genre d’emplois, les moutons à 5 pattes que les recruteurs veulent pour réduire les coûts.
Un « devops » dans une startup de 5 personnes, ok ça se comprend tout à fait, mais dans une grosse boîte comme LastPass, désolé ça ne devrait pas y exister…
5 « J'aime »
Merci, j’avais l’impression d’être seul
3 « J'aime »
Le gars démontre une nouvelle fois sa méconnaissance totale du sujet avec une insistance qui force l’admiration.
Juste pour info: Je suis Devops. Et très bien payé. Et à des années lumières de ce que tu décris.
2 « J'aime »
Avant de traiter de gignol, comme je l’ai dit, on manque d’info.
Est-ce l’employé qui à vraiment fait le gignol ? Ou l’entreprise qui à fait des économies de bout de chandelle en donnant pas d’ordi de travail à ce type ? (et un ordi qui tient la route, pas une bouse).
1 « J'aime »
Et il est tout à fait possible d’expliquer quelque chose sans donner dans le sarcasme, l’insulte gratuite (message supprimé) et l’arrogance. 
5. Restez courtois
Particulièrement lorsque vous exprimez votre désaccord, critiquez les idées, pas les personnes. Évitez à tout prix les insultes, les attaques et autres jugements sur la forme des messages.
6. Publiez des messages utiles
Chaque participation a vocation à enrichir la discussion, aussi les partages d’humeurs personnelles ne doivent pas venir gêner le fil des échanges.
pfff en tant que vrai DevOps, je te crois pas, Werehog te dit que t’es un mauvais dev et un mauvais admin payé au lance pierre, c’est que c’est vrai, c’est écrit sur internet …
3 « J'aime »
Pardon… J’avoue tout… Dis moi comment je peux me punir.
2 « J'aime »
Les gens tapent sur baxter à cause de son trolling gratuit du devops, mais pour le reste, il a raison :
Comment est ce possible d’avoir un truc comme plex qui sert aussi à accéder à un cloud d’entreprise, avec visiblement du privilège élevé ?
Et si je ne prétends pas être meilleur que le type en question, j’ai du mal à comprendre pourquoi il a pu accepter une situation pareille. Soit il a Plex installé sur un poste pro, et les gens qui gèrent les postes sont des guignols pour accepter ça ou ne pas le voir, et le type est en faute pour l’avoir installé, soit Ila accédé au cloud de l’entreprise avec un compte privilégié à partir d’un poste perso, et c’est presque pire.
Une politique moderne de gestion des accès, en place dans n’importe quelle PME digne de ce nom aurait bloqué cette attaque à la source.
3 « J'aime »
Tout le monde semble lancer des hypothèses concernant Plex et son installation ou son accès. Mais le problème semble concerner la fuite de donnée dont ils ont été victime.
Il suffit que le salarié en question ai eu ses accès qui ont fuité lors de cette attaque et qu’il réutilise sont mot de passe pour d’autres accès pour que le tour soit joué.
hmm…il bosse sous Windows, le Devops ?
→ un enregistreur de frappes…ça me rappelle de très lointains souvenirs de keyloggers sous Windows. Mais alors sous Linux ? faut le vouloir 
ou pas 
Si je comprends bien la vision qu’ont certains de la sécurité en entreprise, tout réside donc côté endpoint et de son utilisateur qu’il faut mettre au bûcher ?
Moi qui croyais bêtement qu’une supervision côté ressources était aussi indispensable, notamment pour repérer au plus tôt les accès/comportements anormaux (quand bien même ils proviennent d’hôtes et de credz connus).
On dirait bien qu’il n’y avait pas le minimum syndical là non plus.
De là à dire que cette boîte pratiquait le bluff sécurité, il n’y a qu’un pas que je ne franchirai pas.
Comment se fait-il que LastPass n’ait pas informé tous ses utilisateurs des attaques pour que ces derniers ailleurs vite changer tous leurs mots de passe ?
Attendre sans rien dire est encore plus grave et surtout dommageable pour les utilisateurs.
Tu sais, lire un article ça demande pas mal de ressources.
Alors prendre du recul et analyser… je ne t’en parle même pas ^^
1 « J'aime »
Les experts 2.0 sont de sorties en ce moment ! Ce doit être la saison.
Pas d’enregistreur de frappe. La fuite de données chez Plex a du suffire.