Dois-je dire à mon patron que j'ai découvert ses mots de passe et qu'ils sont trop faibles?
Je suis sur un emploi temporaire, donc ils ne me donnent aucun mot de passe pour accéder aux sites et aux ressources dont j'ai besoin. Au lieu de cela, ils me disent de passer à un autre ordinateur où se trouve un employé régulier et où chaque mot de passe est déjà défini et enregistré sur le navigateur.
Je dois être honnête, je suis entré dans le routeur (car ils utilisent des informations d'identification par défaut) pour obtenir le mot de passe WiFi afin que je puisse l'utiliser sur mon téléphone et j'ai constaté que cela avait beaucoup à voir avec l'activité de l'entreprise (- par exemple, s'il s'agissait d'un restaurant, leur mot de passe serait coffe12). Dans cet esprit, je voulais juste voir si le même modèle était utilisé pour d'autres types de ressources telles que l'adresse e-mail, les comptes d'hébergement, etc. et oui, ils l'étaient.
Lors de l'enregistrement d'un autre domaine avec un nouveau compte, j'ai deviné le mot de passe en voyant mon patron taper lentement sur le clavier et, encore une fois, faible comme f *.
Dois-je leur dire? Je crains de ne pas avoir trop de problèmes pour rôder.
Juste une précision: ce n'est pas une grande entreprise, nous ne sommes que quelques employés et aucun d'entre eux mais moi je connais les ordinateurs et la sécurité, donc il n'y a aucun moyen de signaler le problème de manière anonyme ou de contacter un administrateur système ou un informaticien. .
Bien qu'il n'y ait aucun doute que les mots de passe faibles sont un problème pour votre entreprise, je déconseille fortement de dire à votre patron ce que vous avez fait.
Votre entreprise a décidé de ne pas autoriser les travailleurs temporaires à accéder aux sites et aux ressources pour une raison. Non seulement vous avez obtenu un accès non autorisé au LAN sans fil en devinant le mot de passe du routeur, mais vous avez également étendu cet accès en testant les informations d'identification par rapport à d'autres ressources - des ressources auxquelles vous n'étiez pas censé avoir le mot de passe. Vous avez ensuite essentiellement surfé sur votre patron.
Bien qu'il semble y avoir des failles dans votre politique des employeurs concernant l'accès aux ressources de l'entreprise et leurs politiques de mot de passe, toutes ces choses pourraient être considérées comme du "piratage" par votre employeur et étaient définitivement en dehors de votre autorisation.
Si j'étais vous, je me déconnecterais du WLAN et demanderais à votre employeur le mot de passe si vous voulez y avoir accès. En dehors de cela, vous devez cesser d'essayer d'utiliser les mots de passe d'autres personnes sur n'importe quel point d'accès simplement pour voir si le même modèle a été utilisé. Selon le système juridique des pays concernés, vous pouvez très bien faire face à des problèmes juridiques pour ce type d'actes.
Alors, que devez-vous faire avec les informations dont vous disposez?
Si votre employeur vous donne un mot de passe pour un service ou une ressource que vous pourriez signaler, par exemple ce mot de passe serait facilement devinable pour d'autres personnes. Je ne mentionnerais cependant pas directement l'autre mot de passe ici.
Si votre patron semble intéressé, vous pouvez vous porter volontaire pour rechercher les meilleures pratiques de mot de passe pour l'entreprise. S'ils sont sérieux à ce sujet, cela éliminerait vos préoccupations.
S'il y a un informaticien dans l'entreprise, vous pouvez lui faire part de ces préoccupations car il comprendra probablement mieux la nécessité d'une politique de mot de passe sécurisée.
Sauf si vous avez reçu un mandat explicite ou implicite (*) pour le faire, essayer de deviner les mots de passe pour accéder aux ressources qui ne vous ont pas été accordées est une action hostile, même si les mots de passe sont triviaux ou écrits en un endroit que vous n'auriez pas dû lire. Si vous trouvez un dépliant avec "Confidentiel - réservé aux personnes autorisées" sur la page de couverture et que vous le lisez néanmoins, c'est aussi une action hostile.
Tout ce que vous pouvez faire, c'est dans le cas du dépliant dire "J'y ai vu un document confidentiel, que quelqu'un pouvait lire sans que personne d'autre ne le remarque. Contient-il vraiment des informations sensibles et, dans l'affirmative, ne devrait-il pas être stocké dans un endroit plus sûr? " -> ce qui signifie que j'ai vu un problème de sécurité possible et je vous ai prévenu mais I ont respecté le confidentiel marque.
Ou si vous avez découvert le mot de passe d'un collègue (et si l'histoire suivante est possible): "Hey je devais me connecter sur un ordinateur, je pensais à autre chose, et j'ai entré un mot de passe que j'utilise à la maison. Ensuite J'ai réalisé que j'étais connecté à votre compte. Je me suis immédiatement déconnecté, mais vous devriez vraiment changer ce mot de passe pour un compte professionnel "
* Le mandat peut être implicite si vous êtes en charge d'évaluer la sécurité globale. Mais dans ce cas, vous devez vous demander si vous pouvez continuer dès que vous avez découvert un mot de passe trivial.
Je dis à peu près la même chose que les autres, mais cela pourrait vraiment être une préoccupation juridique pour vous (je ne suis pas avocat). Au Royaume-Uni (*), un acte pertinent est le Computer Misuse Act 199 qui dit tout de suite:
1 Accès non autorisé au matériel informatique.
(1) Une personne est coupable d'une infraction si:
(a) il oblige un ordinateur à exécuter n'importe quelle fonction dans l'intention de sécuriser l'accès à tout programme ou à toutes les données stockées sur n'importe quel ordinateur
(b) l'accès qu'il entend sécuriser [F2, ou permettre d'être sécurisé,] n'est pas autorisé; et
(c) il sait au moment où il fait exécuter à l'ordinateur la fonction qui est le cas.
c'est-à-dire que si vous autant que essayez d'accéder à tout ce que vous savez que vous ne devriez pas.
La sous-section 2 dit que peu importe quel ordinateur, quelles données ou quel type de données, rien ne le rend OK.
La sous-section 3 dit:
(3) Quiconque est coupable d'une infraction au présent article est passible:
a) sur déclaration de culpabilité par procédure sommaire en Angleterre et au Pays de Galles, à une peine d'emprisonnement maximale de 12 mois ou à une amende ne dépassant pas le maximum légal ou aux deux;
Et puis l'article 2 de la loi dit Accès non autorisé avec l'intention de commettre ou de faciliter la commission d'autres infractions. - vous avez commis un acte d'accès non autorisé (gagner un routeur accès) afin que vous puissiez commettre un autre acte d'accès non autorisé (accès wifi).
Dans un de vos commentaires, vous dites
aucun mal à faire
Mais l'article 3 de la loi est Actes non autorisés avec l'intention de nuire, ou avec insouciance quant à la gêne, le fonctionnement de l'ordinateur, etc. - même si vous ne le faites pas ' t a l'intention de nuire, si vous agissez de façon imprudente, cela suffit. Rejoindre un appareil personnel (téléphone) non sécurisé, inconnu et non autorisé au réseau de l'entreprise `` pourrait '' les mettre en danger de toutes sortes de blah blah de style cryptolocker.
Je peux fortement douter que cela s'appliquera en vigueur à quelqu'un dans une petite entreprise accédant à un routeur, mais s'il veut le contester, vous avez pris un emploi temporaire, brisé dans son réseau, son e-mail, son hébergement de domaine/site Web, imprudemment mis en danger leur réseau et donc le fonctionnement de leur entreprise, et qui sait quels vols, chantage, extorsion ou dommages vous aviez l'intention de commettre.
Et ce qui est pire, ils ne comprennent pas l'informatique, ils ne sont pas intéressés par le plaisir ou la curiosité, ni par la gravité ou la trivialité de vos actions, s'ils se retrouvent du mauvais côté du bâton, ce ne sera pas le cas. avoir l'air bien pour vous.
Dois-je dire à mon patron que ses mots de passe sont trop mauvais?
Oui, vous devriez . Mais ne le faites pas, sauf si vous avez des raisons de penser qu'ils le prendront bien. Et ils devraient se soucier. Mais ce n'est pas le cas. Et ce n'est pas votre entreprise et ce n'est pas votre problème. S'ils montrent de l'intérêt, suggérez pourquoi (en principe) les mots de passe de navigateur stockés sont risqués, ou les comptes partagés sont risqués, ou les mots de passe simples sont risqués.
S'il n'y a pas de sauvegarde, encouragez-les à avoir des sauvegardes. "Salut, je lisais cet article sur GitLab perd presque 300 Go de données et cela m'a fait penser que nous n'avons pas de bonnes sauvegardes ici - nous pourrions en définir une pour $ xyz, que pensez-vous? "
(*) D'autres juridictions sont disponibles.
Je me suis mis à peu près dans votre situation exacte une fois quand j'étais jeune. Je me suis ennuyé à un emploi temporaire et j'ai commencé à chercher des faiblesses de sécurité. J'ai essayé d'y mettre fin en envoyant un e-mail anonyme au sysadmin, qui s'est retourné contre lui de la manière suivante:
- Ils ont paniqué, pensant que la menace venait de l'extérieur de l'entreprise au début.
- Ils ont fouillé les journaux du système et ont interrogé et presque congédié un de mes collègues avec qui j'étais ami et qui n'avait rien à voir avec quoi que ce soit.
- Ils l'ont finalement retrouvé et m'ont viré.
- J'étais très chanceux, ils n'ont pas fait pire.
La partie au sujet de mon ami qui a failli se faire virer m'a jeté un coup d'œil. Dans mon orgueil, j'étais complètement pas au courant des dommages collatéraux que je pourrais causer. Aussi, ce qui m'a surpris, c'est quand j'ai été appelé dans cette pièce pour être renvoyé, comment effrayé les gens étaient de moi. Ignorez toute pensée que vous avez des gens qui répondent rationnellement.
Ma suggestion est arrêtez immédiatement en utilisant tout accès non autorisé. Si vous ne pouvez vraiment pas faire votre travail sans mot de passe, faites-le remarquer et s'ils vous donnent ce mot de passe, montrez à quel point il est faible. Autre que cela, laissez-le tranquille. Je sais que c'est difficile. Un jour, vous serez mieux placé pour influencer ce type de politiques. Tu as juste à être patient.
Ne commencez pas par parler des mots de passe non sécurisés. Commencez par souligner que ce n'est pas une pratique sécurisée pour vous d'utiliser l'ordinateur d'un autre employé pour accéder aux systèmes, car cela met en danger les données de l'autre utilisateur (d'un accident même si vous n'êtes pas malveillant ou aussi fou que vous l'êtes). Essayez de les convaincre qu'il serait plus sûr de vous donner les mots de passe dont vous avez besoin pour faire votre travail. Il serait également plus efficace car vous n'auriez pas à empêcher l'autre utilisateur de travailler. S'ils veulent que vous ayez accès, ils devraient vous donner cet accès. Si cela fonctionne, vous pouvez commenter les mots de passe non sécurisés qu'ils vous révèlent. S'ils craignent que vous connaissiez les mots de passe après votre départ, ils peuvent les changer à ce moment-là.
La plupart des entreprises, quelle que soit leur taille, disposent d'un mécanisme vous permettant de signaler de manière anonyme des actes répréhensibles de la part de membres du personnel. Cela peut être appelé l'intégrité d'un système de rapports de conformité.
Ce type de dénonciation est encouragé pour protéger l'entreprise contre des révélations plus dommageables.
Je vérifierais si votre employeur dispose d'un tel système et, si oui, je l'utiliserai. Indiquez les noms des personnes impliquées et, si vous le jugez approprié, même le mot de passe qu'elles utilisent.
Là où je travaille, de tels rapports sont encouragés. Vous aideriez l'entreprise à sécuriser ses données sans risque pour vous.
Dois-je dire à mon patron que ses mots de passe sont trop mauvais?
Lorsque je travaille sur un projet, et que je reçois le mot de passe d'un serveur/routeur, etc., et c'est un mauvais mot de passe, je dirai toujours quelque chose et je recommande d'utiliser des mots de passe plus forts/un gestionnaire de mots de passe, etc.
Je pense que c'est une chose raisonnable à faire.
Dans cet esprit, je voulais juste voir si le même modèle était utilisé pour d'autres types de ressources telles que l'adresse e-mail, les comptes d'hébergement, etc. et oui, ils l'étaient.
Ouais, certainement ne fais pas ça. C'est contraire à la loi et vous pourriez vous retrouver avec un casier judiciaire si votre employeur le découvre.
En leur disant que vous finiriez par révéler les mesures que vous avez prises pour obtenir ces informations et qui pourraient vous causer des ennuis.
Si vous souhaitez les sensibiliser à l'importance des mots de passe forts, vous pourrez peut-être le faire sans divulguer ce que vous savez.
Bien que je convienne avec les autres que vous êtes allé trop loin pour sonder la sécurité et que vous ne devriez pas informer votre employeur des mots de passe/systèmes que vous avez compromis, je pense que vous avez la responsabilité de leur dire que leurs pratiques de sécurité semblent être pauvres et leur demander la permission d'enquêter davantage.
(mais assurez-vous d'avoir un feu vert par écrit, hors site avant d'aller plus loin)
Honnêtement, tout dépend de la personnalité de votre patron et de votre connaissance/confiance mutuelle. Il y a beaucoup d'employeurs qui se moquent de leurs employés et qui profiteraient d'une telle situation en vous poursuivant, mais en même temps, beaucoup seraient très reconnaissants de ces conseils et vous lieraient d'amitié pour faire du travail supplémentaire.
Vous pourriez dire quelque chose comme "je regardais des tutoriels sur la sécurité du réseau et je me demandais si le système ici avait de tels défauts" ou sinon, vous pourriez trouver un employé de confiance pour le dire, ce qui serait probablement plus accepté par votre patron.
Et enfin, il y a toujours l'approche de ne rien dire et faites simplement votre travail, occupez-vous de vos propres affaires et oubliez-le. Cela semble faux, mais de nos jours, il y a trop de mauvaises personnes qui veulent profiter de véritables bonnes actions (comme signaler des failles dans la sécurité d'une entreprise) que cela ne vaut pas vraiment le risque d'aller en prison et de payer des amendes pour avoir essayé d'être un gentil la personne.
La seule personne qui puisse bouger, c'est vous, et tout dépend de la qualité de votre jugement sur la personnalité des gens.
Et enfin, il y a toujours l'approche de ne rien dire et faites simplement votre travail, occupez-vous de vos propres affaires et oubliez-le. Cela semble faux, mais de nos jours, il y a trop de mauvaises personnes qui veulent profiter de véritables bonnes actions (comme signaler des failles dans la sécurité d'une entreprise) que cela ne vaut pas vraiment le risque d'aller en prison et de payer des amendes pour avoir essayé d'être un gentil la personne.
Et c'est exactement ce que vous devez faire. Si vous dites un mot, même un indice, à n'importe qui - à n'importe qui !, pas seulement au patron ou à d'autres personnes de cette entreprise - vous mettez votre sécurité et votre liberté entre ses mains. Gardez la bouche fermée, faites votre travail et allez ailleurs travailler après la fin de votre contrat. Votre situation est dangereuse. Les procureurs sont récompensés pour le nombre de condamnations et non pour le mal de l'auteur.
Cela dépend de la personnalité de votre patron. Est-il intelligent, intelligent et compréhensif? Si oui, alors vous pouvez lui dire. Ce ne sera pas la raison pour vous licencier ou vous rétrograder par hasard. Au lieu de cela, vous pourriez être récompensé pour votre talent et qui sait, pourrait également être une promotion.
Mais si la personnalité de votre Boss est plutôt ordinaire, oubliez cela.
Essayez de leur demander le mot de passe, à cause de bla bla bla. S'ils savent que vous connaissez le mot de passe, vous pouvez leur dire qu'il n'est pas sûr et ils accepteront très probablement de le changer! Et puisque vous avez obtenu le "bon" mot de passe, vous serez FINE.