Archive

Archive for January, 2011

À votre avis: Négligence, mauvaise volonté ou problème d’éthique?

January 18th, 2011 1 comment

Je connais quelqu’un qui vit présentement une situation un peu particulière que j’aimerais partager avec vous (avec sa permission bien évidemment). Nous l’appellerons Michaël afin de préserver son identité.

Michaël faisait partie d’une organisation québécoise qui évolue dans le monde de la sécurité. Nous appellerons cette organisation “org.tld” pour les besoins de ce blogue.

Background

Il y a plus ou moins un an, Michaël a volontairement quitté l’organisation “org.tld” pour des raisons personnelles. Considérant qu’il ne cadrait plus dans la mentalité du groupe et avec les autres membres, il est tout simplement parti sans rien demander en retour et sans vouloir faire de vagues. Malheureusement, son départ fut inutilement houleux. Cette décision de partir fut difficile à prendre, car Michaël avait investi beaucoup de temps et d’efforts afin de contribuer au succès de cette organisation, mais il était tout de même convaincu de faire le bon choix en quittant et en souhaitant bonne chance au reste de l’organisation.

Les faits

Environs un an plus tard, Michaël réalise que, même s’il ne fait plus partie de l’organisation, sont compte courriel [email protected] est toujours actif. Il peut y envoyer des courriels et ses derniers ne reviennent pas avec un message d’erreur, ce qui devrait normalement être le cas si le compte était fermé. Il envoie ensuite des courriels à des comptes bidon [email protected] et ses derniers reviennent avec le message d’erreur habituelle. Il comprend donc que son compte est probablement toujours actif et qu’il ne s’agit pas d’un mécanisme quelconque qui intercepte tous les courriels en entrée, qu’ils soient valides ou non.

Sachant que, lorsqu’il faisait encore partie de l’organisation, les courriels d’anciens membres avaient été consultés à leur insu après leur départ. Michaël qui désapprouve cette pratique lorsque qu’effectué dans un contexte où il n’est pas nécessaire de le faire, a soudainement ressenti un inconfort lorsqu’il a réalisé que son compte était encore actif un an après son départ et qu’il pouvait être consulté par les membres ayant les droits d’administrateur. Pire encore, il pouvait également être utilisé pour envoyer des courriels en son nom et à son insu. Il faut comprendre que Michaël était à l’époque, celui qui s’occupait de la plupart des relations avec les partenaires. L’idée que son nom soit utilisé à son insu lui a bien évidemment traversé l’esprit.

Il a donc envoyé un courriel aux membres du CA de l’organisation leur demandant de bien vouloir fermer son ancien compte courriel [email protected] Comme il ne reçut aucune réponse, Michaël leur laissa le bénéfice du doute. Il se dit que son courriel initial était peut-être “tombé” dans le “spam folder” et qu’ils ne l’avaient pas reçu… Il envoya donc un second courriel à partir d’une adresse différente. Il l’envoya au compte courriel générique utilisée par les membres du CA et à chacune des adresses individuelles de chacun des membres du CA. Il se mit également en copie. Il reçut la copie de son courriel envoyé sur une deuxième adresse, mais toujours aucune réponse des membres de “org.tld”.

Dans son deuxième courriel, en plus d’y avoir réitéré sa demande initiale qui était la fermeture de son compte, Michaël rajouta deux demandes supplémentaires. La première était qu’il souhaitait avoir une confirmation écrite (par courriel) que sont compte [email protected] (et tous les alias) ainsi que sont contenu soient détruit. La deuxième était d’avoir la confirmation écrite que sont compte n‘avait pas été utilisé à son insu. Toujours aucune réponse.

À votre avis

S’agit-il de négligence, de mauvaise volonté ou d’un problème d’éthique? Je ne suis pas juriste donc je n’ai pas les compétences pour juger si cette pratique est légale ou pas, mais comme ceci se passe dans la juridiction canadienne / québécoise et non aux États-Unis ou ailleurs dans le monde, je serais curieux d’avoir l’avis d’expert de chez nous dans ce domaine!

Comment interprétez-vous ce mutisme et ce refus d’obtempérer? Avez-vous déjà vécu une situation similaire ou connaissez-vous quelqu’un l’ayant déjà vécu?

J’aimerais avoir vos commentaires à ce sujet, car si les acteurs du milieu de la sécurité au Québec commencent à jouer à ce petit jeu, je crois que nous aurons bientôt de graves problèmes d’intégrité et de confiance auxquels nous devrons faire face et qui nuiront à notre profession.

– Michel

Le cours SANS SEC560 en français à Québec débute le 10 février prochain, faites vite!

January 12th, 2011 No comments

-

SEC560: Network Penetration Testing and Ethical Hacking

-

Description sommaire du cours

Les cybers attaques augmentent au même titre que la demande pour les professionnels de la sécurité de l’information possédants de vraies compétences au niveau des tests d’intrusions réseau et de piratage éthique. Plusieurs cours de piratage éthique prétendent enseigner ces compétences mais peu le font réellement. Le cours « SANS SEC560: Network Penetration Testing and Ethical Hacking » vous prépare vraiment à effectuer avec succès vos projets de tests d’intrusion et de piratage éthique. Ce cours d’une durée de six jours, est réparti comme suis :

560.1 : La planification, la définition de la portée et la reconnaissance ;

560.2 : Les balayages de ports et de vulnérabilités ;

560.3 : L’exploitation des failles sur les systèmes ;

560.4 : Les attaques de mots de passe ;

560.5 : Les applications sans fil et les applications Web ;

560.6 : La capture du drapeau « Capture the Flag » est un exercice pratique et intensif dans lequel vous procéderez à un test d’intrusion contre une organisation fictive, afin de mettre en pratique ce que vous aurez appris durant le cours.

La description complète du cours est disponible en anglais sur le site Web du SANS.

Ce court vidéo (en anglais) donne un bref aperçue de la formation SEC560.

SANS SEC 560 Course Video from Storyfarm New Media on Vimeo.

← Calendrier des formations

Powered by Netfirms