12
Juin
10

Nos amies les banques

Ahhh les banques, la plupart des geeks qui travaillent dans la sécurité informatique les fréquentent !

Ben oui forcément, elles ont des moyens et des gros besoins de sécurité pour protéger vos sous (enfin surtout les leurs, il ne faut pas se leurrer :)) !

Du coup avec tout ça on a tendance à croire que les SI des banques sont blindés à mort et totalement imprenables telles des citadelles de Vauban… sauf que bon en vrai…

Non je suis taquin elles ne sont pas toutes comme ça, certaines s’en sortent même très bien, mais il faut avouer que d’autres groupes bancaires sont parfois effrayants dans la gestion de leurs systèmes d’informations…

A qui la faute ? Personnellement je pense que plusieurs facteurs sont en cause:

  • Les fusions acquisitions à outrance, qui amènent à chaque fois un nouveau SI, des nouvelles interconnexion et des techniques de travail différentes qui gênent fortement les équipes au quotidien.
  • Les équipes composées massivement de prestataires (> 90% dans certaines équipes) qui tournent régulièrement (un prestataire ne pouvant pas rester plus de 3 ans pour ne pas tomber dans le délit de marchandage, mais ils restent souvent moins longtemps) et donc avec la perte de visibilité et de maîtrise du SI que cela implique. Combien de fois ais-je entendu des phrases du genre “Oh ça on ne sait plus comment ça marche, de toutes façon le mec qui l’a développé n’est plus là” ou “quelqu’un sait où est cette machine, qui la gère et qui a les accès ?”…
  • Le manque de moyens et ce n’est pas une question de crise, mais la banque préfère investir un max dans les primes de ses traders ou dans des moyens leur permettant de trader plus rapidement et plus efficacement plutôt que dans des équipes sécu…

Il faut savoir aussi que les informaticiens sont les “punis” de la profession bancaire. Ils sont souvent mis à l’écart et mal équipés. Demandez vous pourquoi une grande banque Française a 2 sites principaux en région parisienne: de belles tours à la défense pour ses traders et des vieux bâtiments amiantés avec vue sur une autoroute en banlieue est pour le reste…

De la même manière il n’est pas étonnant dans le monde bancaire lorsque l’on est informaticien de se retrouver, en 2012, équipé d’un PC daté de 4 ou 5 ans avec un vieil écran 15¨et une souris à boule… Un ingénieur m’a également confié un jour que son manager lui avait refusé une augmentation lui rappelant que les informaticiens ne “rapportaient” rien dans ce milieu !

Tous ces points nous amènent parfois, nous les pentesteurs ou autres experts sécu dans des situations tragicomiques dont voici quelques exemples:

  • Des réseaux internes dont l’adressage ne respecte même pas la RFC1918 et sans aucune segmentation permettant à un attaquant d’aller n’importe où depuis n’importe quelle prise réseau (alors qu’on trouve des agences avec des prises réseaux accessibles dans les zones publiques ouvertes 24h/24).
  • La compromission totale d’un réseau national depuis une salle de réunion en province.
  • La compromission complète et à distance d’une consigne blindée avec possibilité de l’ouvrir à distance (la machine embarquant avec elle un Windows 2000 vieillissant et non patché) quand elle n’a pas été directement trouée par un virus ultra connu !
  • Des applications bancaires grand public dont la mire d’authentification peut être contournée via une Injection SQL des plus basique que vous pouvez recopier telle quelle sur Wikipedia
  • Des pans entiers de systèmes d’informations devant être “reversés” pour reprendre la main dessus et comprendre comment ils fonctionnent !
  • Ou encore la possibilité de consulter et de mettre hors service la vidéo surveillance des agences de toute une région.

De quoi se poser des questions quant aux risques de fraudes internes / externes et on en vient à se demander si notre argent ne serait pas mieux sous un matelas !

Drôle de monde…

Heat Miser

10 Commentaires:
  1. deadalnix 12 Juin, 2012

    Tu oublies un facteur important. En effet, les informaticien n’étant pas bien traités, beaucoup veulent partir.

    Ceux qui partent facilement sont les meilleurs. Il ne reste donc que les mauvais.

    C’est un phénomène connus sous le nom de dead sea effect : http://brucefwebster.com/2008/04/11/the-wetware-crisis-the-dead-sea-effect/

    Et c’est extrêmement commun.

  2. kornemuz 12 Juin, 2012

    Ce que dit deadalnix me semble juste, en voyant ces conditions de travail on ne signe pas ou on part au plus vite !

  3. Guillaume 12 Juin, 2012

    Travaillant comme prestataire pour ces banques (développeur COBOL si vous voulez tout savoir) je connais la situation et je vais apporter mes lumières sur ce que je connais :

    “Les fusions acquisitions à outrance” : je confirme c’est la loose, et comme rien n’est standardisé c’est du boulot en prespective, mais je vais pas râler.

    “Les équipes composées massivement de prestataires” : ça va s’amplifier mais la règle des 3 ans n’est plus tellement valable, surtout avec les centres de service. Si la rotation est là, avec une bonne doc et un bon transfert de compétences ça se sent pas trop.

    “Le manque de moyens” : ça dépend des banques, dans certaines on est très bien équipé (PC à jour, écran 30″, téléphone fonctionnel), et dans d’autres 6 mois pour avoir un téléphone.

    Des pans entiers de systèmes d’informations devant être “reversés” : c’est mon boulot, du travail pour toute la vie 😀

  4. FreeBzH 12 Juin, 2012

    Assez d’accord dans l’ensemble.

    Tu oublies le service Marketing qui fait pirater elle même une appli pour pouvoir déléguer des choses à son prestataire informatique qui ne sait pas gérer la secu.

  5. CNIL 25 Juin, 2012

    Merci pour ce post ! En fait cela permet de disposer d’une vision concrete sur la réalité du terrain des auditeurs en ssi.

    Il est clair que dans ce contexte la dévalorisation du travail des employés n’est pas un facteur très motivant pour rester…

    Après il y a également des personnes qui ont le sens du défi !

  6. Zmx 26 Juin, 2012

    C’est surement moins chère de faire des proces, d’etre couvert par les assurances sur ce genre de risque que de payer de la sécurité.

    Pis autant le kevin moyen n’hésite pas à s’attaquer au skyblog, autant il ne tenteras rien contre une banque en peur de représaille.

  7. Le banquier 2 Juil, 2012

    Ce genre de situation se retrouve malheureusement dans de nombreux domaines. Ce qui est effectivement dommage, c’est quand ça touche au domaine de la sécurité (et pas nécessairement bancaire). Le problème de ce genre de “grosse tôle”, c’est effectivement le nombre d’interlocuteurs et d’intervenants différents, mais également les mentalités de certaines personnes en interne. L’inertie procure un certain (faux) confort. ça marche bien comme ça, ça a toujours bien marché, pourquoi je devrais me mettre à jour ?
    Allez voir du coté de la sécurité aéroportuaire. C’est le top au sein même de l’aérogare, mais derrière, les infrastructures informatiques ne suivent pas toujours.

  8. Mozzie 15 Juil, 2012

    J’ai fais un cours passage dans une SSII pour un groupe bancaire, en tant qu’admin sys. Nous étions 4 et un peu à l’écart du reste du monde. Niveau équipement nous étions bien foutu (nos pc de bureau était parfois plus puissant que certains de nos serveurs).

    Du reste, la sécurité interne est présente uniquement sur un flou (obscurantisme) et la peur d’être pris pcq “c’est une banque, et une banque tu comprends ça a des méthodes de sécurités que tu ne soupçonne même pas”.

    bref, toutes les info des serveurs présent sur un pauvre fichier excel présent sur le NAS à qui veut bien. Des développeur qui ont choppé des accès root sur les serveurs de prod pour faire leur MEP en douce, aucune base de donnée chiffrées (en dehors des données clients finaux) et l’inconscience de croire que les données ne servirait à rien.

    bref, j’ai bien ris, mais j’ai pas tenu la distance 🙂

  9. action09 25 Fév, 2013

    @deadalnix

    J’aurai dit la loi de Parkinson, cf:
    https://fr.wikipedia.org/wiki/Loi_de_Parkinson

    Mais le “dead sea effect” revient un peu.. au même.. 🙂

  10. sanguinarius 25 Fév, 2013

    Tres bon paper dude 😉 t’auras le droit a une beer :p

    Concernant cette histoire du défi c’est compliqué dans ce genre d’entité, et ca passe malheureusement bien souvent par une grosse attaque qui fait bien mal la ou il faut, sinon personne réagis.

Commenter




Celadon theme by the Themes Boutique