Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
1624 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Politique vis à vis des Teamviewer, LogMeIn et compagnie

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Politique vis à vis des Teamviewer, LogMeIn et compagnie

n°159557
eusebius
Posté le 08-01-2019 à 13:03:11  profilanswer
 

Bonjour,
 
J'aurais aimer savoir quel était votre politique vis à vis des accès "directs" en télémaintenance (Teamviewer, Logmein ...) pour des prestataires "annexes".
 
Exemple -aujourd'hui même- mais ce n'est pas la première fois :
Sans que j'en sois informé, un prestataire de "caisse" (nouveau) se pointe sur un réseau que je gère pour remplacer une caisse classique (non connectée au réseau) par une caisse informatisée sous Windows 10.
 
Le gars -pas inquiet- a trouver un port réseau sur un switch, s'y est branché à fait ses configs et a seulement pris l'idée de m'appeler quand il a été bloqué alors qu’il voulait accéder à un partage réseau ...  :ange:  
 
Sa justification pour ne pas m'avoir prévenu était que ce poste est "totalement indépendant" du reste du réseau ... c'est vrai qu'il n'accède "qu'à" Internet, à des imprimantes réseaux et à besoin d'un partage réseau sur le serveur ...  :pfff:  
Par dessus le marché il a mis en place un accès Teamviewer à ce poste et m'indique que cet accès est "indispensable" pour l'assistance utilisateur et la télémaintenance.
 
Visiblement le gars n'y connais pas grand chose (même pas certain de l'OS sur la machine qu'il a installée) et je ne vais probablement avoir que peu de maitrise sur ce PC (AV, MàJ, droits utilisateurs ...). Cette machine est donc pour moi un risque majeur.
 
Pour le reste, je vais en parler avec les responsables (réunion demain) mais pour Teamviewer j'ai bien envie d'être strict et de dire que télémaintenance n'est envisageable qu'en passant pour une solution VPN dédiée, sécurisée et loguée.
 
Des avis ?
 
Merci.
 
PS : Vous allez peut-être me dire que ça fait longtemps que j'aurais du filtrer ce type d'accès ... :spamafote:

Message cité 1 fois
Message édité par eusebius le 08-01-2019 à 13:08:23
mood
Publicité
Posté le 08-01-2019 à 13:03:11  profilanswer
 

n°159558
Ivy gu
seeing through the charade
Posté le 08-01-2019 à 13:16:07  profilanswer
 

ici c'est 802.1x sur les ports switchs donc seules les machines de la boîte ont accès au réseau interne, les autres ont accès uniquement à internet
+ teamviewer et autre bloqués
et effectivement, VPN IPSec pour les besoins justifiés et bien définis.


---------------
Infused with cruelty, malice, and abstract jazz music.
n°159559
skoizer
tripoux et tête de veau
Posté le 08-01-2019 à 13:20:08  profilanswer
 

eusebius : donnes tu la possibilité a des artisans ou autre pour qu'ils viennent sans te prévenir chez toi dans ta maison ?
un réseau informatique c'est la même chose. Tu dois pouvoir tracer les accés externe et choisir l'outil de sécurité.
eusebius, je me serai clairement énervé avec ce prestataire. Heureusement apres plusieurs clash, je ne vois de moins en moins ce genre de chose.
dans ce cas là. je cloisonne car on ne peut pas gerer a 100% tous les os. Par exemple dans mon cas des Dispositif médicaux. j'ai des vlan par niveau de sécurité. "Je gére" ou "je gére pas" et criticité, domaine d'activité (logistique, administration, production etc...)
 
nous c'est vpn ssl, teamviever ou autre c'est bloqué.
plus on a une charte d'accés distant et charte fournisseur.


Message édité par skoizer le 08-01-2019 à 13:22:02

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°159560
eusebius
Posté le 08-01-2019 à 13:51:13  profilanswer
 

Merci à vous 2 pour vos réponses,
 

Citation :

ici c'est 802.1x sur les ports switchs donc seules les machines de la boîte ont accès au réseau interne, les autres ont accès uniquement à internet
+ teamviewer et autre bloqués


 
Actuellement ce n'est pas possible vue l'infra (switchs non managés et routeur basique) mais c'est amené à évoluer (autre sujet de la réunion de demain).
Pour préciser les choses : c'est une petite structure para-publique qui souffre d'un gros sous-investissement chronique dans pas mal de domaine (dont le SI) et dont la chaine de décision est très vaque (responsable de la structure, responsable(s) de la commune, élus ...).
 
 

Citation :

eusebius, je me serai clairement énervé avec ce prestataire. Heureusement apres plusieurs clash, je ne vois de moins en moins ce genre de chose.
dans ce cas là. je cloisonne car on ne peut pas gerer a 100% tous les os. Par exemple dans mon cas des Dispositif médicaux. j'ai des vlan par niveau de sécurité. "Je gére" ou "je gére pas" et criticité, domaine d'activité (logistique, administration, production etc...)
 
nous c'est vpn ssl, teamviever ou autre c'est bloqué.
plus on a une charte d'accés distant et charte fournisseur.


 
Ne t'en fais pas : je me suis énervé !  
Je pensais d'ailleurs ce genre de problème derrière moi suite à d'autres clashs sur des problèmes similaires. J'avais bêtement l'impression "qu'ils" avaient compris mais ce n'est visiblement pas le cas ...
La "charte fournisseur" est une chose à laquelle je n'avais pas forcément pensé, est-ce que tu aurais par hasard un modèle -même basique- à me faire passer ?
 
Merci.
 

n°159569
nnwldx
Posté le 08-01-2019 à 16:47:43  profilanswer
 

Logmein et Teamviewer sont sécurisés.
Il est possible de consulter les logs de connexion en cas de doute.

n°159570
flash_gord​on
Posté le 08-01-2019 à 17:17:05  profilanswer
 

eusebius a écrit :


 
Pour le reste, je vais en parler avec les responsables (réunion demain) mais pour Teamviewer j'ai bien envie d'être strict et de dire que télémaintenance n'est envisageable qu'en passant pour une solution VPN dédiée, sécurisée et loguée.
 
Des avis ?


 
 
 
Teamviewer est sécurisé.  
 
C'est techniquement bien plus sécurisé pour donner accès à un presta que lui filer un accès VPN.
Quand tu lui files un accès VPN, ça veut dire que tu permets à la machine du presta, que tu ne connais ni d'ève ni d'adam, avec ses virus, malwares potentiels etc de rentrer sur ton réseau. Et selon la config, à n'importe quel moment.
Teamviewer lui, ne permet que de partager l'écran, sans faire rentrer une machine d'un coté ou de l'autre dans le réseau de l'autre.
 
Ta réaction est basée sur le fait que ce n'est pas ta solution. Ce n'est pas parceque tu maitrises ta solution de connexion à distance interne qu'elle est plus sécurisée que ce que peut proposer ton presta.
 
Après faut pas non plus que ce soit la fête du slip, il faut établir des règles claires avec ton presta, notamment le fait d'interdire l'accès unattended, et de ne lui permettre de prendre la main sur teamviewer uniquement lorsque tu lances la connexion de ton coté. Par exemple. et ça tu peux le retourner dans tous les sens, c'est plus sécure qu'un VPN où il fait ce qu'il veut une fois connecté, tu peux même monitorer en direct ce qu'il fait sur la machine.
 
Ne pas confondre le moyen et la finalité.
Eventuellement tu peux interdire teamviewer parceque ce n'est pas une solution interne, maitrisée par ton SI etc, mais l'argument de la sécurité fait un peu mauvaise foi.
 
 
 
Après je veux pas tirer sur l'ambulance mais :

eusebius a écrit :


Le gars -pas inquiet- a trouver un port réseau sur un switch


 
S'il a pu accéder à tes switchs sans clé, badge d'accès ou autre, tu es plutôt mal placé pour t'indigner niveau sécurité.
enfin je dis ça je dis rien hein.  [:cosmoschtroumpf]


Message édité par flash_gordon le 08-01-2019 à 17:38:46

---------------
Survivre à sa migration WP->Android
n°159571
eusebius
Posté le 08-01-2019 à 17:43:22  profilanswer
 

Citation :

Logmein et Teamviewer sont sécurisés.


 
Le niveau de "sécurité" de ces logiciels est presque secondaire dans ce questionnement (*).
 
Ces logiciels sont des "portes" d'entrée vers un réseau, savoir que la "serrure" est de qualité, c'est bien, mais pas suffisant.
Ce qui importe également c'est de savoir qui possède une "clef", qui s'en est servit et à quel moment.
 

Citation :

Il est possible de consulter les logs de connexion en cas de doute.


 
Ces logs se trouvent où ? Sur la machine ou chez TeamViewer ? Ils sont consultables par qui ?
 
N'oublies pas que je n'aurais que très peu de maitrise sur la machine en question (utilisateur probablement admin ...), que je ne connais pas du tout cette entreprise (nouveau prestataire) et que rien ne me dit qu'ils n'utilisent pas un bête exe d'une version gratuite de TeamViewer posée sur le bureau (comme c'est souvent le cas avec ce genre de boite).
 
A+
 
 
(*) : Il me semble que Teamviewer a eu à faire face à quelque failles importantes. Il faut que je retrouve le nom du logiciel mais il me semble aussi qu'un concurrent de TV / LogMeIn a subit une grosse attaque (avec dégâts) il y a 1 an ou 2.

n°159572
flash_gord​on
Posté le 08-01-2019 à 17:45:14  profilanswer
 

Voir mon post à propos de l'accès unattended.


---------------
Survivre à sa migration WP->Android
n°159573
nnwldx
Posté le 08-01-2019 à 17:55:00  profilanswer
 

Dans Teamviewer et logmein, tu as des logs au niveau de la console et sur le poste.
Les logs au niveau de la console, tu n'y auras pas accès comme c'est le Teamviewer du prestataire.
Les logs sur le poste sont consultables par tout le monde.

 

Tu peux regarder le teamviewer qui est installé.
Si tu vois qu'il affiche un ID et un mot de passe, sans association, c'est pas bon.
Si le compte est associé et que tu ne vois pas de code, c'est que seulement les membres de la société auront un accès au serveur.

 

Teamviewer avait eu des problèmes de failles.
Logmein n'a jamais été très clair sur ses piratages.
Beaucoup de gens recevaient du spam avec leur adresse de connexion et ils disaient que cela n'avait aucun rapport.
Mais ce n'était pas convaincant comme excuse.

 


Message édité par nnwldx le 08-01-2019 à 23:50:17
n°159574
eusebius
Posté le 08-01-2019 à 18:10:56  profilanswer
 

Citation :

C'est techniquement bien plus sécurisé pour donner accès à un presta que lui filer un accès VPN.


 
Ce n'est à priori pas l'avis de la plupart des gens (auditeurs divers, autres presta ...) avec qui j'ai pu discuter ces dernières années.
De plus rien n'empêche de coupler VPN et filtrage très restrictif sur les machines connectées à ce VPN.
 

Citation :

Après faut pas non plus que ce soit la fête du slip, il faut établir des règles claires avec ton presta, notamment le fait d'interdire l'accès unattended, et de ne lui permettre de prendre la main sur teamviewer uniquement lorsque tu lances la connexion de ton coté.


 
Le problème c'est justement que le "tu" ce n'est pas moi, mais bien une hôtesse d'accueil à temps partiel (ou un/une stagiaire) qui change littéralement tous les 6 mois ...
 

Citation :

Après je veux pas tirer sur l'ambulance mais :
S'il a pu accéder à tes switchs sans clé, badge d'accès ou autre, tu es plutôt mal placé pour t'indigner niveau sécurité.
enfin je dis ça je dis rien hein.  


 
C'est un switch secondaire sous une banque d'accueil (accessible seulement au personnel).
A l'époque de son installation c'était soit ça, soit péter 10 mètres de carrelage tout neuf (+ divers travaux) pour passer des gaines car l'archi n'avais pas prévu que du réseau serait nécessaire dans ces locaux.
(J'avais seulement eu la place de tirer un câble réseau en remplacement d'un câble téléphonique inutilisé ...).
 
Néanmoins, tu n'as pas tort sur ce point (Idem 802.1x proposé par Ivy gu).
 
A+


Message édité par eusebius le 08-01-2019 à 18:26:58
mood
Publicité
Posté le 08-01-2019 à 18:10:56  profilanswer
 

n°159575
eusebius
Posté le 08-01-2019 à 18:25:25  profilanswer
 

Citation :

Les logs au niveau de la console, tu n'y auras pas accès comme c'est le Teamviewer du prestataire.


 
Ou un TeamViewer utilisé en mode "gratuit" ... J'ai déjà vu ça plusieurs fois.
 

Citation :

Tu peux regarder le teamviewer qui est installé.


 
Ce que je vais faire dès demain.
 

Citation :

Si le compte est associé et que tu ne vois pas de code, c'est que seulement les membres de la société auront un accès au serveur.


 
C'est mieux que rien, certes, mais une fois de plus je ne sais rien de ce prestataire ... C'est pas comme si c'était une boite avec qui je travaillais depuis des années ... :spamafote:
 
 
 
 
 
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Politique vis à vis des Teamviewer, LogMeIn et compagnie

 

Sujets relatifs
choix d'appli pour télémaintenance: TeamViewer ou AnyDesk?equivalent ou remplacement de teamviewer
Teamviewer en entrepriseAlternative à Teamviewer
Logmein Hors ligne sur 2012 ServerVPN ou teamviewer
LogMeIn - Arrêt de la version gratuitepolitique Qos Réseau
avis sur fortinet (technique et politique utilisateur)avis sur Logmein
Plus de sujets relatifs à : Politique vis à vis des Teamviewer, LogMeIn et compagnie


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR