Le groupe français aux 45 000 employés, pourtant réputé pour être précautionneux, a laissé entrer les hackers dans son système informatique.
1 « J'aime »
Comment une SSII de la taille de sopra steria, la deuxième française derrière cap Gemini, je rappelle… peut elle ne pas avoir patché ses serveurs depuis aout ?! Cela dépasse l’entendement!!
2 « J'aime »
La réponse est dans la question en fait.
Les grosses boîtes croulent sous les process, les validations par des gens incompétents, etc.
10 « J'aime »
Votre réaction me paraît disproportionnée. Vous n avez aucune information pour juger quoi que ce soit. Rien ne vous dit qu ils avaient 2 ans de retard sur les patch, juste qu’ils n ont pas appliqué un correctif d août. Ce n’est même pas il y a 2 mois. Comme dit, les process internes peuvent être parfois longs et le service informatique a également énormément de choses à gérer en ce moment entre les collabs en télétravail & co. On a pas encore toutes les cartes pour dire ce qui a péché.
D ailleurs, j apprécie le ton plutôt modéré de l article. Les choses ne sont pas si simple et il suffit d une fois, une faille.
J imagine que vous travaillez dans l informatique également pour utiliser un ton si catégorique, donc prenez 5 minutes pour faire votre autocritique et voir si vous et votre boîte êtes si irréprochables que ça.
Votre message sans nuance m a un peu fait penser aux twits de je sais plus quelle femme qui chiait sur le travail des équipes ayant développé l application stopcovid.
Non je ne bosse pas pour Sopra, mais ce genre de discours condescendant m irrite toujours un peu. Restons humbles, et demandons nous d abord si ça n aurait pas pu nous arriver
11 « J'aime »
quand on voit les patchs que microsoft nous pousse sur windows 10, on est en droit de se poser des questions quand il s’agit d’un serveur ! Non ! Après tous les patchs ne sont pas pourris comme celui de zerologon
Hahaha les boulets! Ca m’étonne pas de la part des créateurs de l’infâme Louvois logiciel à 150M€, qui ne marche pas.
Totalement d’accord avec votre commentaire. Les gens ont vite fait d’insulter anonymement sur internet sans savoir de quoi ils parlent.
3 « J'aime »
J’ai bossé a sopra pendant 3ans, et on nous rappelait souvent les règles de sécurités… ne pas ouvrir des mails inconnus contenant des pièces jointes inconnus etc… le mot de passe de notre session Windows devait être changé tous les 3mois etc…
150 000 000 par an j’ai lu! À ce prix c’est pas un système de gestion de paies que je te fais mais une intelligence artificielle supra humaine oO
Je rappelle la nécessaire modestie dans les problèmes de sécurité (et dans beaucoup de domaines d’ailleurs).
Je suis très preneur du retour qui sera fait sur cet incident car, si l’on se doit d’être mesuré dans nos jugements (même si cela fait toujours du bien de s’emporter), certains faits interpellent et l’on peut espérer une explication des choix faits. Tout en rappelant qu’une seule victoire ou une seule défaite ne suffit pas pour indiquer la valeur dune stratégie (« une bonne stratégie ne gagne pas à tous les coups » mais aussi que « même une horloge arrêtée a raison 2 fois par jour »).
Le choix (parce que s’en est un, même si c’est un « non-choix ») de ne pas patcher contre zérologon était-il bon ou mauvais ? La quasi totalité des éléments en ma possession disent que c’est un mauvais choix, mais (et c’est là tout l’intérêt) Sopra a-t-il eu de bonnes raisons de faire ce choix ? Et j’aimerai les connaitre parce, dans ce cas, que je les ai loupées. On pourrait imaginer comme bonnes raisons le fait que le patch est totalement incompatible avec un AD dans une forêt de plus de 5 éléments (ça je m’en moque), ou qu’il induit une perte de performance de 50% (ça me concerne), ou autre.
Et c’est là que nous verrons la qualité de Sopra: sa capacité à expliquer ses erreurs et ses choix afin de nous permettre de ne pas faire les mêmes, ou bien de se dire que la « bonne pratique tellement géniale » en fait ne marche pas dans tel ou tel environnement.
Par exemple l’injonction « changez votre mot de passe tous les 3 mois », est une mauvaise injonction… sauf dans des milieux à haute sécurité. Dans un environnement « normal » il est contreproductif (cf étude de l’Université de Caroline du Nord portant sur les années 2009-2010, désolé le papier n’est plus disponible). Steria l’applique, c’est pertinent (bien qu’il est toujours intéressant de vérifier), mais pour moi, non.
Bref « attendre et voir ». Clubic, je compte sur vous pour un suivi de cet incident :-)…
3 « J'aime »
Concernant Louvois, la faute est grandement celle de l’état avec un cahier des charges absolument instable, une gouvernance de projet changeante… Bref… facile de taper sur celui qui fabrique… mais personne ne se pose la question de la responsabilité de celui qui exprime son besoin. Et dans le cas présent, les différents articles du Canard Enchaine par exemple, pointant fortement la responsabilité de l’état…
3 « J'aime »
Hello
Il faut comprendre que le « patch » MS d’aout pour zerologon NE PROTEGE RIEN du tout.
Il a été prévu une application en 2 phases
- phase 1 (aug 2020) : modification du comportement d’audit pour consigner les connexions « non conformes » à l’aide d’event dédiés
- phase 2 (T1 2021): correction effective des DC pour bloquer les connexions non conformes
Sans présumer de ce qu’à fait Sopra, même s’ils ont appliqué le patch d’aout, la faille existe encore, sauf à anticiper la phase 2 et appliquer une modif manuelle sur les DC, ce qui éventuellement va bloquer certains clients non conformes mais légitimes.
cf https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-1472
<<Lors de la phase de déploiement initiale qui commence par les mises à jour publiées le 11 août 2020, les mises à jour peuvent être installées sans aucune autre action, et les appareils et contrôleurs de domaine (DC) Windows bénéficieront d’une protection contre cette vulnérabilité. Les organisations doivent surveiller les problèmes potentiels et les corriger avant la phase de mise en conformité DC du premier trimestre 2021 sous peine de subir un refus d’accès sur les appareils.>>
1 « J'aime »
pour rappel … l’année dernière il s’agissait d’Altran, autre ESN de taille mondiale et faisant désormais partie de Cap Gemini.
Ce genre d’entreprise est souvent soumis a différents problèmes. comme dit dans les différents commentaires il y a souvent un problème de lourdeur administrative avec des process parfois très compliqués mais aussi d’autres éléments pouvant expliquer de genre de dysfonctionnement comme par exemple, le fait que les SSII ne sont pas composées uniquement d’ingénieurs IT (et oui il y aussi les fonctions supports et personnes diverses et vairées dont la sécurité n’est pas leur priorité), que certaines hébergent des applications pour les clients, que de plus en plus de clients demandent aux prestataires de travailler depuis leurs locaux ce qui signifie établissement de liens vpn, etc … avec divers clients eux mêmes pas forcement toujours a la page coté secu … et je ne parle même pas des consultants nomades travaillant donc chez les clients puis a l’agence …
Bref, tout ça pour dire que la secu 100% fiable n’existe pas qu’il peut y avoir de multiples causes et il est difficile de toutes les colmater. Ce qui va etre important c’est de voir la résilience de Sopra-Steria. combien de temps ils vont mettre pour récupérer leur Si ? (j’espère pour eux qu’ils ne mettront pas 2 mois comme leur concurrent l’année derniere)
C’est beau les discours de personne en manque d’informations.
Si Steria (avant la fusion avec Sopra) n’avait pas été aux manettes, le logiciel aurait coûté beaucoup, mais beaucoup plus.
As tu au moins une idée du périmètre d’intervention de Steria à l’époque ? Nan ? Donc on fait attention à ce qu’on raconte.
Des officiers de l’état major sont passés aux journaux télévisés pour clarifier le rôle de Steria et l’aide que Steria a apporté aux armées sur ce sujet. Une petite recherche internet te permettra de retrouver les interviews. A noter que c’est la seule fois que j’ai vu la « grande muette » communiquer auprès du grand public.
1 « J'aime »
Je rajoute une autre info car vous l’aurez d’ici quelques jours… GRDF a été attaqué de la même manière ce mercredi.
Pour l’instant, on ignore toute l’étendue, mais même méthode, AD touché…
1 « J'aime »
Depuis quand les financiers s’occupent de patcher les infra ? et vu que les bons experts ca coutent cher les financiers les laissent partir puis ils sont remplacés. L’adage se confirme, recrute que des personnes moins compétentes que toi tu auras la garantie qu’elle ne te feront pas d’ombre ( cf macron + #gouv = oops.fr et une hotline par problème )
comment on fait pour prévenir BFM ? avec twitter çà marche ? #rancongiciel
quand une IA entrainée spécialement pour réaliser des attaques seul les systèmes comme VFilo pourront devenir en arrière en 2 click sans que personnes ne s’en rendent compte, sauf que çà demande un annuaire et une infra gérée à l’état de l’art spécialement pour contrer le chiffrement malveillant mais c’est loin d’être la priorité des DAF de fournir le budget aux DSI si la marge n’a pas crachée encore +10% ce trimestre… merci les actionnaires, ils iront mettre leur actions ailleurs
C’est peut-être l’état qui récupère le chomage partiel fictif des ESN pour les « intercontrats »
Tous les soft que j’ai fait ou commandés qui sont partis en couille n’étaient pas catastrophiques du fait du fournisseur seul.
Je dirais même que la responsabilité est toujours partagée mais avec une prépondérance du coté du client (mauvais cahier des charges, mauvaise gestion des exigences, modifications à la volée, informations primordiales non données, recettes loufoques, …).
1 « J'aime »
Le problème vient aussi du fait que sopra stéria gère l’outsourcing d’un grand nombre de clients et cette attaque pourrait bien infecter tous ses clients sans qu’ils ne s’en apercoivent.
Ce qui c’était passé en ukraine où une société de logiciels de comptabilité s’était fait infecté et pénétré. Une mise à jour de son logiciel, avait infecté tous ses clients et il y avait une coupure électrique d’une centrale qui avait ce logiciel. Cela peut aller loin.