Bonsoir à tous,
Et oui, ce soir je viens d'apprendre que je serai licencié de la société
de service pour laquelle je travaillais car je me suis permis d'ouvrir
les ports RDP et pcAnywhere d'un pare-feu Zywall chez un client, afin
d'intervenir en télémaintenance autrement que par VPN (en raison de
problème pour "monter" celui-ci"), en limitant, bien sûr, les paquets
d'entrées à l'adresse IP de notre site d'intervention.
Pensez-vous qu'il existe dans ce cas de figure un risque réel d'IP-spoofing
qui permettrait à un tier de se connecter ?
Un grand merci pour vos réponses, ça pourrait m'être extrêment utile pour
constituer un dossier de protestation.
Bonne fin de soirée,
Dan.
Attention, ouverture de ports = risque de licenciement
Modérateur: modos Ixus
11 messages
• Page 1 sur 1
Attention, ouverture de ports = risque de licenciement
par herrityl » 27 Mai 2005 22:13
- herrityl
- Matelot
- Messages: 4
- Inscrit le: 27 Mai 2005 21:58
par bobyII » 28 Mai 2005 10:00
Salut a toi,
Ca m'étonnerait grandement qu'ils aient le droit de te licencier pour cette raison. Je pense tout simplement que, pour monter ton dossier, regarde plutot du coté juridique.
Pour qu'ils puissent te virer, il faut que tu aies délibérément voulu nuire au client ... ce qui n'est visiblement pas le cas, au contraire. Quant au trou de sécurité que tu aurrais mis en place, il me semble un peu lèger de toute facon. N'aurais tu pas d'autres problèmes (genre relationnel ou autre) avec tes employeurs ?
Attention aux SSII, ce sont des rois de l'intox. Ne croit rien de ce qu'ils te disent ... vérifie tout et le mieux serait de te faire assister.
Bonne chance
Ca m'étonnerait grandement qu'ils aient le droit de te licencier pour cette raison. Je pense tout simplement que, pour monter ton dossier, regarde plutot du coté juridique.
Pour qu'ils puissent te virer, il faut que tu aies délibérément voulu nuire au client ... ce qui n'est visiblement pas le cas, au contraire. Quant au trou de sécurité que tu aurrais mis en place, il me semble un peu lèger de toute facon. N'aurais tu pas d'autres problèmes (genre relationnel ou autre) avec tes employeurs ?
Attention aux SSII, ce sont des rois de l'intox. Ne croit rien de ce qu'ils te disent ... vérifie tout et le mieux serait de te faire assister.
Bonne chance
-
bobyII - Enseigne de vaisseau
- Messages: 159
- Inscrit le: 09 Juil 2003 00:00
- Localisation: nantes
par gregory.legrand » 28 Mai 2005 14:05
bonjour
Le problème c'est que si l'entreprise en question avait signé un contrat de télémaintenance avec un accès EXCLUSIF par VPN, il ya non respect VOLONTAIRE du contrat (meme si c'est pour le bien du client), et ton employeur peut justifier cela comme une faute professionnelle grave... (chose coplétement abérente....)
a bientot
Le problème c'est que si l'entreprise en question avait signé un contrat de télémaintenance avec un accès EXCLUSIF par VPN, il ya non respect VOLONTAIRE du contrat (meme si c'est pour le bien du client), et ton employeur peut justifier cela comme une faute professionnelle grave... (chose coplétement abérente....)
a bientot
La connaissance ne sert à rien si elle ne peut être partagée....
-
gregory.legrand - Lieutenant de vaisseau
- Messages: 185
- Inscrit le: 08 Fév 2005 09:50
- Localisation: Orléans et Brest
par herrityl » 30 Mai 2005 00:00
Salut,
Merci pour ces quelques éléments de réponse.
BobyII, il y a effectivement un autre problème qui est celui d'une baisse
de l'activité d'infogérance sur site (j'interviens ponctuellement dans les PME pour
gérer leur informatique). Activité qui rapporte nettement plus que l'assistance
téléphonique.
Comme un licenciement pour raison économique est certainement beaucoup plus
contraignant pour un employeur, une magouille à mon encontre vient donc de se
mettre en place en se basant sur 3 fautes que j'aurais commises.
Les 2 premières sont totalement injustifiées et je n'aurais pas de mal à argumenter,
en revanche c'est cette dernière, celle des ports, qui me met dans le doute car même
si les ports ouverts restent invisibles au portscan de toute machine qui n'a pas l'IP
fixe de mon routeur, même si les paquets sont cryptés et en plus contiennent principalement
des données graphiques (paquet RDP), donc très difficilement interprétables, n'y a-t-il pas
un risque par un moyen d'IP-spoofing qui me dépasse de se connecter ? (Ensuite il y
aurait le login Windows, mais bon...)
En ce qui concerne une éventuelle clause de contrat stipulant un accès exclusif par
VPN, si c'est le cas je n'en avais de toute façon pas été informé.
A suivre donc...
Merci pour ces quelques éléments de réponse.
BobyII, il y a effectivement un autre problème qui est celui d'une baisse
de l'activité d'infogérance sur site (j'interviens ponctuellement dans les PME pour
gérer leur informatique). Activité qui rapporte nettement plus que l'assistance
téléphonique.
Comme un licenciement pour raison économique est certainement beaucoup plus
contraignant pour un employeur, une magouille à mon encontre vient donc de se
mettre en place en se basant sur 3 fautes que j'aurais commises.
Les 2 premières sont totalement injustifiées et je n'aurais pas de mal à argumenter,
en revanche c'est cette dernière, celle des ports, qui me met dans le doute car même
si les ports ouverts restent invisibles au portscan de toute machine qui n'a pas l'IP
fixe de mon routeur, même si les paquets sont cryptés et en plus contiennent principalement
des données graphiques (paquet RDP), donc très difficilement interprétables, n'y a-t-il pas
un risque par un moyen d'IP-spoofing qui me dépasse de se connecter ? (Ensuite il y
aurait le login Windows, mais bon...)
En ce qui concerne une éventuelle clause de contrat stipulant un accès exclusif par
VPN, si c'est le cas je n'en avais de toute façon pas été informé.
A suivre donc...
- herrityl
- Matelot
- Messages: 4
- Inscrit le: 27 Mai 2005 21:58
par bobyII » 30 Mai 2005 09:24
Salut,
oui, donc, en gros, c'est une grosse excuse pour ne pas faire de licenciement. En plus, tu n'as pas connaissance d'une interdition contractuelle. Si tu mets ton licenciement abusif (on va l'appeler comme ca) et la baisse d'activité dans ton secteur, ca m'étonnerait que les prudhommes ne soient pas sensible ca.
A ce stade la, je te conseille de voir plutot des juristes. Les arguments techniques poussés (comme ce que tu poses comme question) devant les prudommes, je suis pas sur qu'ils comprennent dans le details. A toi de dire qu'il n'y avait pas beaucoup plus de risque qu'avec l'utilisation de VPN et que, de toute facon, le client n'a subit aucun dommage.
PS : une faute grave et lourde sont différente. Une te permet le licenciment, l'autre non. Le type de faute qui permet un licenciement (Lourde il me semble) demande de remplir des conditions bien particulières.
oui, donc, en gros, c'est une grosse excuse pour ne pas faire de licenciement. En plus, tu n'as pas connaissance d'une interdition contractuelle. Si tu mets ton licenciement abusif (on va l'appeler comme ca) et la baisse d'activité dans ton secteur, ca m'étonnerait que les prudhommes ne soient pas sensible ca.
A ce stade la, je te conseille de voir plutot des juristes. Les arguments techniques poussés (comme ce que tu poses comme question) devant les prudommes, je suis pas sur qu'ils comprennent dans le details. A toi de dire qu'il n'y avait pas beaucoup plus de risque qu'avec l'utilisation de VPN et que, de toute facon, le client n'a subit aucun dommage.
PS : une faute grave et lourde sont différente. Une te permet le licenciment, l'autre non. Le type de faute qui permet un licenciement (Lourde il me semble) demande de remplir des conditions bien particulières.
-
bobyII - Enseigne de vaisseau
- Messages: 159
- Inscrit le: 09 Juil 2003 00:00
- Localisation: nantes
par tomtom » 30 Mai 2005 11:30
Juste pour repondre à la question technique, oui il est possible de spoofer une adresse source, un "intrus" situé sur le réseau entre ton client peut faire en gros ce qu'il veut. Comme il est rare que l'on fasse confiance à toute la chaine d'opérateurs, c'est pour cela que l'on met des VPN. Ne pas oublier qu'Internet c'ets juste un tas de réseaux privés connectés les uns aux autres et ou chacun fait "preuve de bonne volonté" (hum hum) pour router les paquets des autres.
Maintenant, cela n'a rien d'une faute professionnelle si
- Le client t'a demandé cette opération
- Tu l'as informé que tu effectuais cette opération sans passer par le vpn.
C'est sur que si tu as pris cette initiative de ton propre chef et que par hasard il y ait pu avoir un problème à ce moment, tu peux être considéré comme reponsable. Maintenant, de là à licensier pour ça... Je ne suis pas juriste. Si on licenciait tous ceux qui font des con**** au boulot, y'aurait encore plus de monde à l'ANPE.
Ce qui me semble louche dans cette affaire, c'est que ce devrait être le client qui ait ralé pour ceci, pas ta boite. Si tu as fait ça dans l'interet du client, demande lui son appui.
ENfin, comme précedemment conseillé, adresse toi au plus vite à un avocat, car ces questions dépassent largemetn les problèmes techniques.
t.
Maintenant, cela n'a rien d'une faute professionnelle si
- Le client t'a demandé cette opération
- Tu l'as informé que tu effectuais cette opération sans passer par le vpn.
C'est sur que si tu as pris cette initiative de ton propre chef et que par hasard il y ait pu avoir un problème à ce moment, tu peux être considéré comme reponsable. Maintenant, de là à licensier pour ça... Je ne suis pas juriste. Si on licenciait tous ceux qui font des con**** au boulot, y'aurait encore plus de monde à l'ANPE.
Ce qui me semble louche dans cette affaire, c'est que ce devrait être le client qui ait ralé pour ceci, pas ta boite. Si tu as fait ça dans l'interet du client, demande lui son appui.
ENfin, comme précedemment conseillé, adresse toi au plus vite à un avocat, car ces questions dépassent largemetn les problèmes techniques.
t.
One hundred thousand lemmings can't be wrong...
-
tomtom - Amiral
- Messages: 6035
- Inscrit le: 26 Avr 2002 00:00
- Localisation: Paris
par frost » 30 Mai 2005 12:00
C'est bien une faute lourde qui te risquerait d'être licencié, les autres sont soit par exemple une rétrogradation, voir une mise à pieds. Il me semble (à vérifier) que dans le cas, où il y a des conditions particuliéres dans un contrat bilatéral ; l'utilisateur doit être averti de ces conditions (logique !), mais maintenant à savoir si c'est ton employeur qui doit t'informer, ou plutôt toi qui doit faire la démarche de trouver l'information... Je ne sais pas
Frost
------------------------------
Ipcop Addict
------------------------------
------------------------------
Ipcop Addict
------------------------------
-
frost - Contre-Amiral
- Messages: 465
- Inscrit le: 28 Fév 2004 01:00
- Localisation: Arras
par herrityl » 30 Mai 2005 22:59
OK Tomtom, merci pour les détails techniques. C'est sûr que
si l'intru en question a directement accès à l'infrastructure des
opérateurs, ça change tout et ça ne m'enchante guère d'y
penser maintenant.
Ce qu'il faut que je précise aussi, c'est qu'une telle config a
été laissée permanente sur le pare-feu, en guise de secours.
Pour des interventions ponctuelles de télémaintenance en poste
à poste c'est nettement moins contraignant et lourd que les VPN,
surtout lorsque l'on doit intervenir chez de nombreux clients
dans une même journée. Suis-je donc le seul à pratiquer cette
méthode ?
En poussant un peu, peut-on considérer les VPN comme infaillible ?
N'étant pas expert en sécurité, je ne connais bien évidemment pas
les détails sur IPSec, les techniques d'authentifications, de cryptage
et d'encapsulation des trames mais je lisais dernièrement que des
algorithmes comme DES et SHA étaient de plus en plus "facilement"
cassables...
Je pense que je vais contacter Zyxel (fabricant des Zywall) prochainement
pour avoir son point de vue.
A+
si l'intru en question a directement accès à l'infrastructure des
opérateurs, ça change tout et ça ne m'enchante guère d'y
penser maintenant.
Ce qu'il faut que je précise aussi, c'est qu'une telle config a
été laissée permanente sur le pare-feu, en guise de secours.
Pour des interventions ponctuelles de télémaintenance en poste
à poste c'est nettement moins contraignant et lourd que les VPN,
surtout lorsque l'on doit intervenir chez de nombreux clients
dans une même journée. Suis-je donc le seul à pratiquer cette
méthode ?
En poussant un peu, peut-on considérer les VPN comme infaillible ?
N'étant pas expert en sécurité, je ne connais bien évidemment pas
les détails sur IPSec, les techniques d'authentifications, de cryptage
et d'encapsulation des trames mais je lisais dernièrement que des
algorithmes comme DES et SHA étaient de plus en plus "facilement"
cassables...
Je pense que je vais contacter Zyxel (fabricant des Zywall) prochainement
pour avoir son point de vue.
A+
- herrityl
- Matelot
- Messages: 4
- Inscrit le: 27 Mai 2005 21:58
par Franck78 » 31 Mai 2005 09:57
Salut,
Je pense que la technique n'a que peut d'importance dans ton histoire. Ta boite te veut du mal et n'importe quel prextexte est bon pour eux.
Comment ont-ils appris cette 'ouverture' ? Par toi ou le client ?
Ensuite si j'ai bien compris, tu [ta ssii] utilises ce system avec d'autres sites. Ca ne peut pas être dangereux pour un site et pas pour les autres. Donc si je ne me trompe pas, accumules les preuves pour les autres sites à propos de cette pratique et il deviendra difficile de démontrer une faute quelquonque. Une erreur d'appréciation tout au plus. D'ailleurs as-tu le contrat de service client/ssii à ta dispo pour connaitre 'tes limites' ?
Si la sécurité est vraiment un soucis chez le client, il y a obligatoirement un paragraphe béton la dessus, genre jamais seul, compte rendu immédiat validé par un responsable à la sortie, etc. Bref ce, n'est pas un moulin et ils ont commis eux aussi une faute en laissant faire. Comme tu les mettras forcément en cause aux prudhomme, ton patron réviseras sa copie si il ne veut pas aussi perdre ce client... [ tu expliques tout ça bien calmement à ton boss].
Faut la démonter la faute réélle ET sérieuse. Lourde, tu serais déjà chez toi, ca ne traine pas, genre le nez en sang de ton boss, la salle serveurs en feu etc....
Franck
Je pense que la technique n'a que peut d'importance dans ton histoire. Ta boite te veut du mal et n'importe quel prextexte est bon pour eux.
Comment ont-ils appris cette 'ouverture' ? Par toi ou le client ?
Ensuite si j'ai bien compris, tu [ta ssii] utilises ce system avec d'autres sites. Ca ne peut pas être dangereux pour un site et pas pour les autres. Donc si je ne me trompe pas, accumules les preuves pour les autres sites à propos de cette pratique et il deviendra difficile de démontrer une faute quelquonque. Une erreur d'appréciation tout au plus. D'ailleurs as-tu le contrat de service client/ssii à ta dispo pour connaitre 'tes limites' ?
Si la sécurité est vraiment un soucis chez le client, il y a obligatoirement un paragraphe béton la dessus, genre jamais seul, compte rendu immédiat validé par un responsable à la sortie, etc. Bref ce, n'est pas un moulin et ils ont commis eux aussi une faute en laissant faire. Comme tu les mettras forcément en cause aux prudhomme, ton patron réviseras sa copie si il ne veut pas aussi perdre ce client... [ tu expliques tout ça bien calmement à ton boss].
Faut la démonter la faute réélle ET sérieuse. Lourde, tu serais déjà chez toi, ca ne traine pas, genre le nez en sang de ton boss, la salle serveurs en feu etc....
Franck
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
par M@nu » 31 Mai 2005 12:15
Bonjour,
dans un premier temps, reprends le contrat liant le client et ta boite, afin de connaitre les points précis traitant de la sécurité. Si tu es en tort, il doit y avoir un ecrit qui le précise (genre "aucun accès ne sera ouvert sur le firewall").
Ensuite, si effectivement il y a erreur, le client aurait du prevenir ta boite qui rectifie alors le pb et eventuellement te passe un savon avec avertissement a la clé. Il peut y avoir dédomagement de la part de ta boite vers le client.
Pour te licencier, il faut qu'il y ai eu réel danger pour TA société, pas pour le client (sauf si mise en danger de personnes physiques). C'est a dire que "l'ammende" demandée par le client à ta boite en dédomagement du préjudice soit de nature à couler ta boite. C'est en effet TA societe qui est responsable de tes actes. Si le client a subit un préjudice, c'est TA boite qui assume, et ensuite, elle gère le pb avec toi.
S'il n'y a aucun process defini qui t'interdit cette pratique ET si le contrat du client ne le precise pas (en clair, s'il n'y a que des "paroles"), aucun droit de te licencier.
N'hesite pas à aller aux prud'homme si tu es licencié. Il y a une conciliation amiable en debut de procedure qui permet de savoir si ton patron bluffe ou pas, puis procedure légale.
Si le pb se limite aux faits decrits ici, tu risque pas grand chose. Toutefois, si tu gagne, tu "risque" d'être réintégré dans ta boite, et bonjour l'ambiance au boulot (je l'ai vecu). Il est parfois préférable de demander une indemnité de licenciement et de partir ailleurs. Dans ces deux cas, tu aura droit à une indemnité pour licenciement abusif.
dans un premier temps, reprends le contrat liant le client et ta boite, afin de connaitre les points précis traitant de la sécurité. Si tu es en tort, il doit y avoir un ecrit qui le précise (genre "aucun accès ne sera ouvert sur le firewall").
Ensuite, si effectivement il y a erreur, le client aurait du prevenir ta boite qui rectifie alors le pb et eventuellement te passe un savon avec avertissement a la clé. Il peut y avoir dédomagement de la part de ta boite vers le client.
Pour te licencier, il faut qu'il y ai eu réel danger pour TA société, pas pour le client (sauf si mise en danger de personnes physiques). C'est a dire que "l'ammende" demandée par le client à ta boite en dédomagement du préjudice soit de nature à couler ta boite. C'est en effet TA societe qui est responsable de tes actes. Si le client a subit un préjudice, c'est TA boite qui assume, et ensuite, elle gère le pb avec toi.
S'il n'y a aucun process defini qui t'interdit cette pratique ET si le contrat du client ne le precise pas (en clair, s'il n'y a que des "paroles"), aucun droit de te licencier.
N'hesite pas à aller aux prud'homme si tu es licencié. Il y a une conciliation amiable en debut de procedure qui permet de savoir si ton patron bluffe ou pas, puis procedure légale.
Si le pb se limite aux faits decrits ici, tu risque pas grand chose. Toutefois, si tu gagne, tu "risque" d'être réintégré dans ta boite, et bonjour l'ambiance au boulot (je l'ai vecu). Il est parfois préférable de demander une indemnité de licenciement et de partir ailleurs. Dans ces deux cas, tu aura droit à une indemnité pour licenciement abusif.
- M@nu
- Aspirant
- Messages: 120
- Inscrit le: 14 Mai 2004 17:20
par herrityl » 02 Juin 2005 12:33
Salut,
Un grand merci pour vos remarques qui me seront bien utiles. Je pense que j'ai
suffisamment d'éléments pour me défendre contre les faits qui me sont reprochés
et prouver que ce n'est qu'une manoeuvre dans le but de faire le ménage dans la
boîte (2 collègues en ont déjà fait les frais en 6 mois)...
Pour revenir à l'objet de ce post, voici la réponse que j'ai eu de Zyxel :
Le risque est minime car si vous avez renseigné une IP comme seule source possible
les mecanismes d'attaque deviennent complexes.
Sans trop rentrer dans les détails, il faudrait méler trois types d'attaques différentes, IP
spoofing, TCP Sequence Number Prediction plus une attaque DOS comme un Syn Flood
sur votre propre site. De plus il resterait à casser votre mot de passe PC anywhere.
Salutations / Best Regards
Service Technique
ZyXEL France
Voilà qui me rassure et comme nos clients ne sont pas des banques ni des centrales
nucléaire et qu'en plus, je n'ai pas eu connaissance des engagements de la société
vis à vis des clients sur les modalités de télémaintenance (quoiqu'on pourra dire que
"nul n'est sensé ignorer la loi", mais bon), qu'il n'y a pas eu de plaintes de la part des
clients, ceux-ci n'étant pas au courant de la pratique et ni comprenant strictement rien
de toute façon... je peux espérer m'en sortir l'honneur sauf ; c'est l'essentiel. Toutefois,
si ré-intégration il y a, je n'envisage même pas d'accepter car, comme le souligne M@nu,
bonjour l'ambiance et les relations de travail avec le responsable et le patron...
A+
Un grand merci pour vos remarques qui me seront bien utiles. Je pense que j'ai
suffisamment d'éléments pour me défendre contre les faits qui me sont reprochés
et prouver que ce n'est qu'une manoeuvre dans le but de faire le ménage dans la
boîte (2 collègues en ont déjà fait les frais en 6 mois)...
Pour revenir à l'objet de ce post, voici la réponse que j'ai eu de Zyxel :
Le risque est minime car si vous avez renseigné une IP comme seule source possible
les mecanismes d'attaque deviennent complexes.
Sans trop rentrer dans les détails, il faudrait méler trois types d'attaques différentes, IP
spoofing, TCP Sequence Number Prediction plus une attaque DOS comme un Syn Flood
sur votre propre site. De plus il resterait à casser votre mot de passe PC anywhere.
Salutations / Best Regards
Service Technique
ZyXEL France
Voilà qui me rassure et comme nos clients ne sont pas des banques ni des centrales
nucléaire et qu'en plus, je n'ai pas eu connaissance des engagements de la société
vis à vis des clients sur les modalités de télémaintenance (quoiqu'on pourra dire que
"nul n'est sensé ignorer la loi", mais bon), qu'il n'y a pas eu de plaintes de la part des
clients, ceux-ci n'étant pas au courant de la pratique et ni comprenant strictement rien
de toute façon... je peux espérer m'en sortir l'honneur sauf ; c'est l'essentiel. Toutefois,
si ré-intégration il y a, je n'envisage même pas d'accepter car, comme le souligne M@nu,
bonjour l'ambiance et les relations de travail avec le responsable et le patron...
A+
- herrityl
- Matelot
- Messages: 4
- Inscrit le: 27 Mai 2005 21:58
11 messages
• Page 1 sur 1
Retour vers Sécurité et réseaux
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)