Reprise du message précédent :

 
L'instant Darwin en cadeau de Noël    

 
Ouais enfin quand tu voyais le taux de panne il y a quelques années de certains lots d'alims en CS de chez HP (genre les 460w), outch.

ils ont juste fait des alimentations consommables comme des cartouches d'encre  

Raaaah, on en a un qui confond aussi. Insupportable. Avec en plus son cousin kisyconnait qui bricole son SI derrière... On est éditeurs de logiciels et, on s'est déjà retrouvés à aller lui paramétrer sa box... #trop bon trop con ! --'

La société qui décide d'externaliser son service IT et qui ne prévoit pas de transition. Leur équipe a laissé la documentation, mais nous devons tout redécouvrir par nous-même et le client s'attend à ce que nous soyons au top tout de suite.     Je remercie aussi le commercial qui n'a pas pensé à demander au client une période de transition.  
 Nous espérons que le fichier keepass contient bien tous les mots de passe utiles.  

Tu as le mot de passe du Keepass au moins ?  

Ca serai le gros troll
Et limite c'est ce que je ferais si je me faisais externaliser !

Je suis en pleine transition comme ça pour un client. Racheté récemment, son ancien presta info dont le contrat se fini le 31/12 ne semble pas prêt à transférer le parc. J'ai commencé à les demander en novembre, je les ai reçu en début de semaine, et je dois reposer presque chaque question deux fois. Genre: "hey, salut, j'aurais besoin des infos permettant de se connecter au routeur,  ou a défaut, des infos permettant d'utiliser la FTTO (IP du routeur, de la passerelle, masque et caractéristiques de l'abonnement)" " bien sûr, voilà l'IP"  "oui merci, et le reste des infos ?" "Voilà le masque" "oui merci, et le reste ?" Ou encore "avez vous un contrat de support pour ce routeur ? Pouvez vous nous transmettre les infos concernant les différents VLAN dessus ainsi que les règles de NAT et de routage dessus ?" "Non, il n'y a pas de contrat de support" "ah, merci, et... ?"
Fatiguant.

Bah c'est assez logique, non ? Le mec va se faire jeter, donc il répond aux questions mais il ne veut pas perdre du temps a monter un dossier technique ou une documentation...
Perso, les projets où la doc n'a pas été faite avant de deploiement, elle ne sera jamais faite et jamais transférable. Les infos sont "dans la tête ou un email quelque part", donc le boulot de regroupement est énorme.

 
J'ai reçu un coup de fil cette semaine, sauf que pour moi c'était le contraire. Client viré il y a 2 ans qui m'apelle pour me savoir ce que c'est le truc XYZ, qui est écrit noir sur blanc sur la doc de 4 pages. Que personne n'a jamais ouvert bien sûr...

"Oui, je peux repondre, c'est une prestation de deux jours a 900€ la journée, paiement comptant comme vous n'êtes plus client."

Aux Etats-Unis, l'entreprise GoDaddy dupe ses employés avec un faux bonus de Noël
 
La société américaine spécialisée dans la gestion de noms de domaine sur Internet est vivement critiquée pour avoir piégé ses employés par mail.  
Elle leur faisait miroiter une prime de Noël de 650 dollars en pleine crise économique. Il s'agissait en réalité d'un test de sécurité informatique.
 
https://www.liberation.fr/planete/2 [...] el_1809667

GoDaddy quoi...  

C'est pas très charlie mais en même temps, les pirates le sont-ils?

"Si tu sais que c’est un test, alors le test est raté."

Le PDG de Godaddy qui écrit « Nous avons appris que certains employés ont été bouleversés par notre tentative d’hameçonnage et l’ont jugée cruelle, et pour cela nous nous sommes excusés ».
 
Evidement que c'est cruel, le gars est même pas fout de s'en rendre compte.
Surtout quand les employé se retrouvent ensuite avec un mail :
« Vous recevez ce courriel parce que vous avez échoué lors de notre récent test d’hameçonnage ».
 
Par contre cette technique est très bonne pour bien montrer que l'entreprise n'a aucun respect, pour donner envie de partir à ses employés et pour se faire une mauvaise réputation.
A ce niveau là, c'est finement joué.

Assurer sa sécurité et signaler leurs fautes aux employés est irrespectueux ?
 
Je n'ai pas suivi l'histoire, mais écrit comme ça, c'est un peu du foutage de gueule, non ?

Tu peux résumer l'histoire comme ca :
GoDaddy a fait une campagne de faux phishing, en utilisant le prétexte d'une prime de Noel pour appâter le poisson.
Les employés ont trouvé ca cruel qu'on leur fasse miroiter une fausse prime.

Meh

Parce que le phising réel ne fait rien miroiter ?
Les mecs ont bien dû avoir une URL à cliquer vu qu'ils ont renseigné leurs informations.
Url qui ne devait pas correspondre à celle de godaddy, donc ils ne devraient s'en prendre qu'à eux-mêmes pour y avoir cru.

Certes, le thème est litigieux en cette période, mais c'est raccord avec les mails piégés que tu peux recevoir.

Non. Parce que c'est une campagne massive (tout le monde la reçoit), c'est pas une attaque basique.
Donc oui, c'est mal de la part de l'entreprise, parce que seule l'entreprise a la liste complète des salariés, la possibilité de mettre en pause les sécurités emails, etc.
Alors forcément qu'avec un thème universel et attendu, envoyé a chaque salarié, certains vont cliquer "au cas où".

c'est quand même sur leur email pro et sur le matos de l'entreprise après, je suppose, une campagne de sensibilisation ?

Euh... une campagne massive de vrai phishing résultant du vol d'un listing d'adresses, je l'ai déjà vu. Et ca avait passé les sécurités antispam/antiphishing.
Et même si c'était pas le cas, je vois pas en quoi ca rend non pertinente une campagne de faux phishing qui serait massive/pour les besoins de laquelle on ferait une exception de sécurité, tu sais jamais ce qui pourrait se produire en vrai  

Comme le dit houckaye, ce genre de campagne de faux phishing est normalement fait de sorte à ce que les employés puissent détecter que c'est du phishing en s'appuyant sur des formations/sensibilisations internes qu'ils ont déjà eu. Et le but c'est pas d'afficher ceux qui se font avoir, mais plutôt de réappuyer sur les points qui permettraient de faire mieux la prochaine fois...

L'arnaque au PDG ils font semblant d'être un des pontes de la boîte ...
Les anarqueurs n'ont pas de scrupules, donc faut pas en avoir non plus pendant les tests  

Mais pourquoi ca serait "limite"? Tu crois que sur une vraie attaque, les pirates vont se dire "oh quand même, on n'est pas des enfoirés à ce point"?  
A partir du moment où le phishing est détectable avec des éléments concrètement identifiables par les utilisateurs, je vois vraiment pas le souci...

OK, mais dans ce cas ce qui est cruel c'est "la boite paye mal ses employés", pas "l'exercice de sécurité pose problème". Et je suis pas certain que ca soit le rôle de la RSSI de prendre en compte ce genre de problème, au contraire même, ils ont tout intérêt à éviter de se mêler de politique pour faire leur boulot correctement.

 
ouais je pense aussi qu'avec un peu d'effort ils auraient pu trouver un autre sujet de phishing tout aussi efficace sans donner l'impression aux gens qu'on se fout de leur gueule.

Si les employés se pensent mal payé en s'en plaignent sur les réseaux sociaux, l'attaque par cette méthode sera d'autant plus efficace donc d'autant plus probable

Que la boîte paye pas les mecs correctement n'as pas de rapport avec sa politique de sécurité informatique

Pour moi ceux qui ralent c'est plus par vexation de s'être fait piégé que par ce que la boîte as été déloyale (en matière de piratage.la notion d'attaque sournoise   bref )

c'est clair mais la politique ca peut être utile pour éviter de se retrouver avec le rond point de la COGIP pris d'assaut par les GJ

 
Les salaires c'est politique

Faire miroiter du pognon est une astuce de base pour donner envie à un pigeon de cliquer sur un lien pourri et de filer ses données personnelles  
Je comprends qu'ils aient utilisé cet appât.

Les négociations salariales oui. Par contre utiliser l'argent/l'avidité comme levier d'arnaque, c'est surtout la plus grosse ficelle possible.

non mais les gars personne ne dit que c'est limite de faire des mails tests de ce genre vous etes sur la lune ou quoi
 
ce qui est limite c'est de faire croire aux gens qu'ils vont avoir une prime.
 
Arretez un peu de vivre dans votre bulle d'informaticien a un moment.
 
L'année a été quand meme bien pourri, des gens se sont retrouvé au chomage, ou ont des gens dans leur famille en difficulté. se servir d'une fausse prime de noel / de resultat pour tester qui va se faire baiser par du fishing oui je trouve que c'est vraiment tres maladroit comme methode. Tu peux faire bien d'autres sujets pour faire le meme test, avec le meme resultat.

On a dit que la méthode d'un point de vue sécurité est excellente, d'un point de vue politique c'est autre chose
 
Cela dit, est ce que les pirates qui feraient ce genre de campagne aurait de la compassion ? Non  

 
bien sur que non, sauf que si tu te fais avoir par un pirate, t'as moins l'impression de te faire prendre pour un con par ta boite

 
Voici résumé en gros les raisons profondes du déclin de l'europe vs l'asie ou les states.

Bah ca sera pas une impression, ca sera une réalité

Tu es moins pris pour un con mais tu as 2000€ en moins sur ton compte
 
Et puis si cette société paie vraiment si mal ses employés, ça devait leur mettre la puce à l'oreille sur la réalité de l'annonce

Ben tu te fait prendre pour un jambon par un pirate ET viré par ta boîte parce que ta négligence est la source du problème , c'est pas beaucoup mieux