Petit retour d’expérience de ces dernières semaines qui va dans ton sens.
1) Un serveur web mutualisé. Je souhaite le rendre « conforme », c’est à dire pas de FTP en clair. J’implémente un FTP/S explicite, pensant qu’avec la disponibilité de FileZilla, tout va fonctionner tout seul chez les clients. Erreur... Les firewall, aléatoirement, refusent de laisser passer le flux... là où pour le FTP en clair, ils laissent passer normalement le flux. C’est tout récent, pas encore réussi à comprendre les raisons de ces disparités.
2) Accès à un serveur RDP. Le prospect trouve qu’un accès direct, port 3389, ce n’est pas sécurisé. Je lui dis qu’il a raison, lui propose un client IPSEC pour se connecter à l’infra. Il répond que ça ne marche pas, son réseau d’entreprise ne lui permet pas. Je lui propose un client RDP en mode web, sur du https, authentification préliminaire HTTP. Il trouve que la double authentification, c’est pénible, et surtout, il ne parvient pas à se connecter, car en effet, son réseau d’entreprise prévoit que les sites https, c’est sur liste blanche uniquement... Bien... Ce n’est qu’un prospect, son service info ne met pas en liste blanche n’importe quel prospect... Alors je passe tout en port 80, sans authentification. Youpie. (ça crépite dans les logs...).
Et je peux aussi évoquer la gestion des mots de passe... Où l’attribution d’un mot de passe fort peut conduire à des heures de support avec certains clients, qui préfèrent se passer du service plutôt que de devoir taper un mot de passe convenablement.
Conclusion : pour permettre aux utilisateurs de bosser, j’en reviens à des solutions sans cryptage et à mot de passe faible. C’est consternant.
