Un court article du Reg relate la condamnation d’un ex-administrateur de systèmes qui aurait, pour motifs non expliqués, effacé une quinzaine d’hôtes VMware supportant 88 serveurs différents. Ces machines appartenaient à la filiale US d’un groupe pharmaceutique Japonais. L’attaque aurait été conduite grâce à l’utilisation abusive d’anciennes autorisations d’accès et depuis les postes Internet en libre-service situés dans une boutique de restauration rapide. L’admin-pirate, qui comptait ainsi couvrir ses traces, a commis l’erreur d’utiliser sa carte de crédit quelques minutes avant le hack dans l’établissement en question.
Si l’on ne peut en aucune manière excuser le geste de cet ex-employé (sa faute pourrait lui coûter 10 ans de prison et 250 000 $ d’amende), on se demande quelle sera la peine requise pour l’actuel administrateur. Car les bévues commises par la « victime » sont pharaoniques : autoriser un accès administratif à partir de n’importe quelle station distante, conserver des logins actifs ne correspondant plus à la liste des personnes réellement autorisées et ayant quitté la compagnie depuis plus d’un an (source Network World ), compromettre la sécurité des données des clients et du système de production en négligeant les mécanismes de plan de continuité d’activité (le « hack » aurait coûté plus de 800 000 dollars, ce qui implique qu’aucun backup n’avait été effectué)… pour nettement moins que çà , bien d’autres responsables informatiques auraient encouru l’estrapade.
On pourrait s’interroger sur la « bienveillance » avec laquelle nos confrères anglo-saxon traitent ce genre d’information, « victimisant » l’entreprise coupable d’une telle accumulation de négligences, tout en concentrant l’attention des lecteurs sur la culpabilité de l’interpelé. Cette affaire en rappelle une autre, tout aussi comparable : celle des statistiques en « Google-hacking » indiquant clairement les entrailles VMwares accessibles à partir du WAN. Perseverare diabolicum.