1. Postes de travail à distance
Il y a quelques années, on a travaillé pour une petite entreprise d'intégration de systèmes ; les responsabilités comprenaient la rédaction de rapports sur les produits logiciels de pré-lancement de l'entreprise. Pour épargner à les postes de travail la charge inutile des cycles répétés d'installation et de désinstallation de programmes, on a demandé à l'entreprise une machine virtuelle qui pourrait être remise dans un état de propreté du système en un rien de temps. En outre, l'utilisation d'une machine virtuelle devrait être une mesure de sécurité judicieuse bien entendu, uniquement si elle est bien configurée. La société a fourni une VM ; cependant, elle devait être partagée avec toute l'équipe et était également connectée au réseau de la société. Mais ce n'était pas le vrai problème. Il y a plus de cinq ans, la machine virtuelle est toujours active. Et c'est bien là le problème. Il est toujours disponible à la même adresse, et il donne toujours accès aux utilisateurs avec les mêmes identifiants. Alors, par curiosité, on s'est connecté et on a eu accès à tous les dossiers en cours. Bien sûr, on a immédiatement renvoyé une recommandation qu'on a transmise à un imprimeur interne de l'entreprise : changez le mot de passe de la VM. Et tant que vous y êtes, vous devriez isoler la machine virtuelle du réseau de l'entreprise.
2. Les documents Google orphelins
Il y a quelque temps, on a travaillé comme rédacteur indépendant pour une entreprise qui se préoccupait sérieusement de sa sécurité physique. Pour pouvoir entrer dans les bureaux, on doit à chaque fois prévenir un des employés, qui laissait ensuite une sorte d'autorisation d'accès avec les données du passeport à la réception. À un moment donné, l'ancien passeport a été remplacé par un nouveau. On a informé l'un des éditeurs et lui ai proposé de lui envoyer les nouvelles données du passeport. Il m'a répondu qu'il n'en avait pas le temps et m'a envoyé un lien vers un document Google avec une liste de tous les auteurs, y compris les dates de naissance et de passeport. Bien qu'on ait essayé de ramener l'homme bon à la raison, il était encore trop occupé pour faire le travail à ma place. Là encore, le problème est que ce fichier existe toujours et qu'il est accessible à quiconque possède le lien. Personne ne peut supprimer les informations existantes, de sorte que chacun peut voir l'historique de l'édition et les modifications apportées au fichier. Et même le propriétaire du compte ne peut rien y faire, car il a oublié depuis longtemps son mot de passe et a changé d'adresse électronique.
3. L'ancien disque dur
Un des passe-temps est de collectionner du vieux matériel informatique. En général, on les achète pour une pomme et un œuf dans un marché aux puces. Il n'y a pas si longtemps, on a acheté un ensemble de restes de vieux systèmes. Le vendeur m'a dit que tout cela était de la pure camelote et que son voisin lui avait demandé de s'en débarrasser si aucun acheteur ne pouvait être trouvé. Pour les besoins du test de fonctionnement, on a jeté un bref coup d'œil au disque dur. Outre les affaires personnelles de l'ancien propriétaire, on a trouvé un dossier intitulé travail, qui contenait de nombreux devis et contrats, tous marqués comme confidentiels. On ne sait pas si l'ancien propriétaire utilisait l'ancien PC pour travailler à domicile ou simplement pour stocker ses archives, mais il n'a manifestement pas envisagé les conséquences de le donner. On a donc bien sûr formaté le disque dur. Bien sûr, on n'a pas pu voir les réfrigérateurs ayant appartenu aux particuliers et aux entreprises mentionnées ici, mais à en juger par le rapport mentionné ci-dessus, on y trouverait certainement des années de charcuterie pourrie ou de bâtonnets de crabe fossilisés. Cela donne vraiment la chair de poule quand on pense à toutes les données confidentielles qui existent dans certains documents et disques durs de Google, abandonnés depuis longtemps, sans parler des anciens employés qui ont encore accès à toutes les ressources de l'entreprise. Et malheureusement, ce rapport soutient des préoccupations.