L'art de se faire prendre pour un jambon ...
Par Bertrand Arquilliere le jeudi 23 août 2007, 09:59 - Humeur - Lien permanent
Ou comment une entreprise se discrédite complètement à mes yeux...
Je vous faisais part le 03 août dernier d'une faille de sécurité que j'avais découverte dans un CRM. Et bien j'ai eu une réponse officieuse aujourd'hui, me disant que la faille était désormais corrigée, et que le CRM en place, ne présentait plus cette vulnérabilité.
Je fais ni une ni deux, je me connecte sur le-dit CRM et refait un test ... Mon test fonctionne, le CRM est toujours vulnérable à la même attaque.
C'est tout de même incroyable que cet éditeur de CRM prétende avoir corrigé une faille sans même faire un test de validation, surtout que je leur avait livré un Proof Of Concept très détaillé pour faire le test.
Je respecterai ma parole en ne rendant publique cette vulnérabilité que le 4 septembre, mais ça me brûle les doigts de le faire dés aujourd'hui, cet éditeur se moque de ses clients et de ses utilisateurs ! Son nom est désormais gravé dans ma tête, et je garanti que je ferrai tout mon possible pour faire barrage aux produits de cet éditeur partout où j'en aurai le pouvoir.
Enfin, pour revenir à une discussion initiée par FredLynx, ni l'éditeur de CRM ni le fournisseur utilisant cet outil troué comme une passoire ne m'a remercié ...
Ils régleront ça à l'Américaine avec leurs armées d'avocats et de plaintes croisées j'imagine.
Un simple "Thank you" (Ben oui c'est des Américains) m'aurait largement suffit.
Quel métier ingrat que la recherche de faille ... 
Bah n'oubliez pas : Have fun !
Commentaires
Ne sois pas en colère, il n'est de meilleur retour que la certitude d'un travail bien fait.
Christian
Je ne suis pas en colère, par contre je suis stupéfait de l'aplomb qu'a cette entreprise pour prétendre avoir corrigé une faille, alors qu'il n'en est rien.
Peut être qu'ils ont bien corrigé la faille, mais que le client utilisant le CRM n'a pas encore mis à jour sa version ???
je dis ça, mais moi je ne connais pas l'outil, ni comment vous avez procéder aux tests
je suis depuis peu, vos billets, ils sont très intéressants.
Imad.
Peut être qu'il s'est dit qu'en te balançant un mail, tu arrêterais de les embêter. C'était bien essayé. Cela aurait pu marcher si tu avais été comme cette personne peu scrupuleuse de ton travail.
Et bien là, ils auront tout faux, et çà risque leur coûter cher. C'est peut être aussi un poste à pourvoir dans quelques jours.
Surprenant, de la part d'un éditeur mondialement réputé...
Tu as raison de persévérer tout en tenant ton engagement (4 sept). Quant aux remerciements, il est possible que tu les reçoives plus tard (dans quelques mois) le temps que la machine US ai fait le nécessaire !!!...
Cordialement,
J'ai moi-meme fait des tests de bases sur plusieurs CRM commerciaux, et la plupart sont vulnerable a des attaques simples du style: modifier le numero de ticket dans l'url pour voir le ticket des autres... Les plus securitaires ne permettant pas de voir les tickets... mais de les modifiers et voir le resultats...
Transferer les usagers entre les compagnies en modifiant les information d'un contact, etc.
Le plus drole, c'est que ces compagnies denigre les solutions opensource sur le pretexte de la securite, mais sont generalement des passoires.
Une compagnie contacté on simplement encrypté les numeros de tickets/compagnies, rendant le travail plus difficile mais ne l'empechant pas. Une autre a spécifié qu'aucun de leur client ne leur a signifié des problemes de securites car le port 443 est securitaires. Le fix d'encryption de numero n'est pas publique car ce n'est pas en demande(et j'apelle meme pas ca un fix...)
En moins de 2 heures, nous avons raporté 15 failles de débutants pour un CRM de haut niveaux. En fait, sur 16 test s c'est pas un grand succès si on considere le peu de connaissance que nous avions pour faire les tests..
Je parle ici de CRM dans le top 10...