Les informaticiens qui bossent sur les serveurs bancaires

40 messages

Mise à jour: il y a 18 jours

Vaseline29

il y a 18 jours

Ils doivent être hyper contrôlés non ?

H0lden21

il y a 18 jours

Ouient
Un informaticien avait fait une erreur sur le serveur de ma banque, résultat tous les paiement par carte aux commercants etaient bloqués partout en france pendant plusieurs heures

Takeshin

il y a 18 jours

Qu'est-ce que t'appelles "hyper contrôlé" ?

Vaseline29

il y a 18 jours

Qu'est-ce que t'appelles "hyper contrôlé" ?

Bah contrôlé dans le sens ou ils doivent pas être tenté de modifier des données comme le solde de leur propre compte bancaire ou celui d'un proche

Takeshin

il y a 18 jours

Bah contrôlé dans le sens ou ils doivent pas être tenté de modifier des données comme le solde de leur propre compte bancaire ou celui d'un proche

T'as tout un tas de procédés de contrôles de solde et de comptabilité qui vont sonner derrière, et toutes les actions faites sur une DB sont enregistrées pour audit

C'est marrant deux minutes de jouer à mettre des milliards sur son propre compte en environnement de test, mais la production, c'est surveillé, oui

GermanQueen

il y a 18 jours

Pas plus qu'un convoyeur de fonds j'imagine

AgliglouKelloid

il y a 18 jours

Ils bossent pas directement sur les serveurs de productions

Ils ont ce qu'on appelle des serveurs de pré-production qui sont le plus souvent une image J-1 de la production, l'accès au serveur de prod est en lecture seule

SilverElite-57-

il y a 18 jours

Ce sont des gens gentils mais spéciaux. Devenir maitre du cobol et/ou fortran n'est pas sans impact sur la psyché humaine

Oisisjc

il y a 18 jours

Bah contrôlé dans le sens ou ils doivent pas être tenté de modifier des données comme le solde de leur propre compte bancaire ou celui d'un proche

Mec, tu te doutes bien que la SSI est robuste, c'est pas une simple requête SQL qui modifie ton solde: Y'a plusieurs lignes de défense, déjà t'as des logs immutables, systèmes redondés, le changement du solde c'est toujours un système qui fonctionne en ségrégation des responsabilités: c'est pas un système tout seul qui le fait, mais plusieurs sous-systèmes coopérants qu'il faudrait compromettre tous du même coup...etc

A cela t'ajoutes des systèmes de détection des fraudes (pour rappel, faut pouvoir justifier des entrées d'argent...etc)

AgliglouKelloid

il y a 18 jours

Ce sont des gens gentils mais spéciaux. Devenir maitre du cobol et/ou fortran n'est pas sans impact sur la psyché humaine

Ça va

AgliglouKelloid

il y a 18 jours

Par contre oui en terme de sécurité ça déconne pas du tout, je me souviens à mon premier jour de taff on était 3 nouveau et yen a un qui s'est fait pazifier day one car il a branché son tel au pc pour le recharger, ça a déclenché une alerte de sécurité 10 minutes après quelqu'un est venu le chercher et il a plus jamais remis les pieds dans la boite

FafLafarge

il y a 18 jours

Par contre oui en terme de sécurité ça déconne pas du tout, je me souviens à mon premier jour de taff on était 3 nouveau et yen a un qui s'est fait pazifier day one car il a branché son tel au pc pour le recharger, ça a déclenché une alerte de sécurité 10 minutes après quelqu'un est venu le chercher et il a plus jamais remis les pieds dans la boite

Takeshin

il y a 18 jours

Ils bossent pas directement sur les serveurs de productions
Ils ont ce qu'on appelle des serveurs de pré-production qui sont le plus souvent une image J-1 de la production, l'accès au serveur de prod est en lecture seule

J'ai déjà eu des accès totaux à la production de certaines banques, t'as fatalement des types qui doivent pouvoir faire des updates pour des questions de support.

J'ai même une plutôt bonne idée de ce que je devrais faire si je voulais piquer de l'argent assez discrètement que pour avoir le temps de me barrer derrière dans un pays sans traité d'extradition avec l'UE, mais je suis honnête et ça ne me tente vraiment pas de jouer à l'escroc, je préfère rester sage et regarder les transactions à 10 zéros défiler

AgliglouKelloid

il y a 18 jours

J'ai déjà eu des accès totaux à la production de certaines banques, t'as fatalement des types qui doivent pouvoir faire des updates pour des questions de support.
J'ai même une plutôt bonne idée de ce que je devrais faire si je voulais piquer de l'argent assez discrètement que pour avoir le temps de me barrer derrière dans un pays sans traité d'extradition avec l'UE, mais je suis honnête et ça ne me tente vraiment pas de jouer à l'escroc, je préfère rester sage et regarder les transactions à 10 zéros défiler

Bah pour le coup nous on a pas d'accès en écriture. Si on veut modifier des trucs, par exemple pour de la correction d'incident, on a tout un process de validation multi-couche et c'est exécuté a une daté donnée par quelqu'un d'autre qui reçoit des accès temporaires et qui doit dérouler la procédure validée.

Tu peux pas juste te co et balancer un update

DJ_nodelock4

il y a 18 jours

ils doivent avoir un stress de ouf surtout, à tout moment ils se font réveiller à 3h du mat pour régler un truc essentiel

jaguaraouw

il y a 18 jours

Ils bossent pas directement sur les serveurs de productions
Ils ont ce qu'on appelle des serveurs de pré-production qui sont le plus souvent une image J-1 de la production, l'accès au serveur de prod est en lecture seule

mais le gar qui a décidé de laisser le serveur de prod en lecture seule. Qu'est-ce qui l'empêche de modifier ce paramètre pendant une minute, puis se faire un virement de 50 000 000€ sur un compte offshore. Et de se tirer ?

Oisisjc

il y a 18 jours

J'ai déjà eu des accès totaux à la production de certaines banques, t'as fatalement des types qui doivent pouvoir faire des updates pour des questions de support.
J'ai même une plutôt bonne idée de ce que je devrais faire si je voulais piquer de l'argent assez discrètement que pour avoir le temps de me barrer derrière dans un pays sans traité d'extradition avec l'UE, mais je suis honnête et ça ne me tente vraiment pas de jouer à l'escroc, je préfère rester sage et regarder les transactions à 10 zéros défiler

N'imp

Je bosse dans la SSI. Autant pour ma part j'ai pas touché à ce genre de système mais j'ai deux collègues qui faisaient du pentest au Lux. Systématiquement, c'est toujours la même, si y'a moyen d'affecté à la disponibilité et la confidentialité du bouzin, pour ce qui est de l'intégrité, c'est zéro. Même avec des credentials maintainer ils sont pas aptes à directement pouvoir changer des soldes sans faire tout sonner et surtout, sans laisser de traces

jaguaraouw

il y a 18 jours

Mec, tu te doutes bien que la SSI est robuste, c'est pas une simple requête SQL qui modifie ton solde: Y'a plusieurs lignes de défense, déjà t'as des logs immutables, systèmes redondés, le changement du solde c'est toujours un système qui fonctionne en ségrégation des responsabilités: c'est pas un système tout seul qui le fait, mais plusieurs sous-systèmes coopérants qu'il faudrait compromettre tous du même coup...etc

mais le gar qui a codé tout ça, il connait le secret non ?

AgliglouKelloid

il y a 18 jours

mais le gar qui a décidé de laisser le serveur de prod en lecture seule. Qu'est-ce qui l'empêche de modifier ce paramètre pendant une minute, puis se faire un virement de 50 000 000€ sur un compte offshore. Et de se tirer ?

Les virements entre deux banques différentes sont pas en temps réel. Il y a souvent un jour ouvré de traitement et il y a des tas de vérifications/sécurités

AntiPNJ_

il y a 18 jours

Par contre oui en terme de sécurité ça déconne pas du tout, je me souviens à mon premier jour de taff on était 3 nouveau et yen a un qui s'est fait pazifier day one car il a branché son tel au pc pour le recharger, ça a déclenché une alerte de sécurité 10 minutes après quelqu'un est venu le chercher et il a plus jamais remis les pieds dans la boite

bordel je fais tjrs ça a mon taff

jaguaraouw

il y a 18 jours

Les virements entre deux banques différentes sont pas en temps réel. Il y a souvent un jour ouvré de traitement et il y a des tas de vérifications/sécurités

en parlant de sécurité, avec la fuite des données de Harvest. Est-ce qu'on a du soucis à se faire ?

A vous lire, il y a des milliers de sécurité et donc impossible pour un employé de s'envoyer 10 millions sur son compte en bidouillant le code source. Et d'un autre côté, des gamins arrivent à mettre la main sur les outils Harvest

Oisisjc

il y a 18 jours

mais le gar qui a codé tout ça, il connait le secret non ?

Justement, y'a pas de secret. Y'a de l'audit de code, et la sécurité par l'obfuscation ça n'existe pas dans une organisation un minimum correcte. Si mettre ton système open-source résulte en une augmentation du risque SSI, c'est que ta SSI c'est de la merde de base

Par exemple, un algo de chiffrement n'est pas solide parce qu'on sait pas comment il fonctionne, mais parce qu'il est solide mathématiquement, c'est tout

Takeshin

il y a 18 jours

mais le gar qui a décidé de laisser le serveur de prod en lecture seule. Qu'est-ce qui l'empêche de modifier ce paramètre pendant une minute, puis se faire un virement de 50 000 000€ sur un compte offshore. Et de se tirer ?

Idéalement, les gens qui ont le pouvoir de donner les accès n'ont aucune connaissance fonctionnelle des DB qu'ils administrent et ne sauraient donc pas par où commencer pour piquer dans la caisse, tandis que ceux qui ont des connaissances fonctionnelles n'ont pas le pouvoir d'exécuter les requêtes eux-mêmes.
Quant au back-office qui peut utiliser le logiciel, tu as toujours un système quatre yeux entre l'encodage et la validation.

Bien sûr, en pratique, tu as à peu près toujours un point critique, un type qui connaît le système et a les accès, mais ce type est la plupart du temps un vieux briscard fainéant qui n'a aucune envie de se barrer en ermite au Laos après avoir piqué 50 millions

Springfag2023_

il y a 18 jours

Ouient
Un informaticien avait fait une erreur sur le serveur de ma banque, résultat tous les paiement par carte aux commercants etaient bloqués partout en france pendant plusieurs heures

DJ_nodelock4

il y a 18 jours

un vieux briscard fainéant qui n'a aucune envie de se barrer en ermite au Laos après avoir piqué 50 millions

et puis faut les blanchir les 50 M après

AgliglouKelloid

il y a 18 jours

en parlant de sécurité, avec la fuite des données de Harvest. Est-ce qu'on a du soucis à se faire ?
A vous lire, il y a des milliers de sécurité et donc impossible pour un employé de s'envoyer 10 millions sur son compte en bidouillant le code source. Et d'un autre côté, des gamins arrivent à mettre la main sur les outils Harvest

Ça n'a pas vraiment de rapport. La fuite de donnée c'est avoir accès en lecture à ce qu'il y a sur le serveur, ici avec une faille d'ingénieurie socialle qui exploite l'imprudence d'un employé.

Pour te "virer" 10m€ il faut que t'arrives a baiser les centaines de programmes de vérifications qui s'executent sur les bases tous les soirs. C'est assez différent.

Mais sinon oui, il y a toujours du soucis à se faire. L'être humain est super faillible.

Takeshin

il y a 18 jours

N'imp
Je bosse dans la SSI. Autant pour ma part j'ai pas touché à ce genre de système mais j'ai deux collègues qui faisaient du pentest au Lux. Systématiquement, c'est toujours la même, si y'a moyen d'affecté à la disponibilité et la confidentialité du bouzin, pour ce qui est de l'intégrité, c'est zéro. Même avec des credentials maintainer ils sont pas aptes à directement pouvoir changer des soldes sans faire tout sonner et surtout, sans laisser de traces

Bien sûr que non, ce n'est pas n'imp, j'ai roulé ma bosse dans quelques banques luxembourgeoises et certaines sont de vrais gruyères. Je ne vais pas donner de détails sur où, ni comment, mais l'idée n'est jamais de ne pas se faire prendre (ton larcin sera loggé, pas de problème), juste d'avoir 24 ou 48h pour te barrer avant que quelqu'un ait pu comprendre ce que t'avais fait et n'inverse les actions

En ce moment, je suis analyste dans la filiale luxo d'une grosse banque française, autant c'est assez bien cadenassé niveau sécurité informatique, autant le back-office est d'une incompétence crasse, t'as des fichiers avec des centaines de millions qui ne sont pas exécutés pendant des semaines, ou sont exécutés par erreur, et personne ne capte quoi que ce soit pendant des plombes, si quelqu'un parvient à bypass la sécurité informatique, il a largement le temps de se casser

Et aller faire un update sur le solde de ton compte, c'est probablement le moyen le plus con d'essayer de piquer dans la caisse

jaguaraouw

il y a 18 jours

Ça n'a pas vraiment de rapport. La fuite de donnée c'est avoir accès en lecture à ce qu'il y a sur le serveur, ici avec une faille d'ingénieurie socialle qui exploite l'imprudence d'un employé.
Pour te "virer" 10m€ il faut que t'arrives a baiser les centaines de programmes de vérifications qui s'executent sur les bases tous les soirs. C'est assez différent.
Mais sinon oui, il y a toujours du soucis à se faire. L'être humain est super faillible.

A propos de fuite, il y a eu celle de nos IBAN à cause de Free.
Est-ce que quelqu'un pourrait l'utiliser ? Et ainsi vider nos comptes

Oisisjc

il y a 18 jours

A propos de fuite, il y a eu celle de nos IBAN à cause de Free.
Est-ce que quelqu'un pourrait l'utiliser ? Et ainsi vider nos comptes

Non, avec un IBAN, tu peux envoyer un virement, mais pour faire un prélèvement, il faut un mandat signé (Mandat SEPA)

C'est à la charge de la banque de vérifier que ce mandat n'est pas frauduleux, même si tu te fais prendre de la moula, la banque doit te rembourser

SilverElite-57-

il y a 18 jours

AgliglouKelloid a écrit :
Ça va

Tu es un maitre ès cobol/fortran ?

Shambler_2

il y a 18 jours

C'est surtout les rares développeurs (cobol) qui sont hyper demandés

Oisisjc

il y a 18 jours

C'est surtout les rares développeurs (cobol) qui sont hyper demandés

Grosse idée reçu. J'ai fais une partie de mes études à Metz, où tout le monde se destine à bosser au Luxembourg. En Info, t'avais encore le mythe comme quoi le cobol c'est trop bien parce que personne ne sait en faire et que les banques l'utilisent encore

La vérité c'est que ça paye pas plus que ça et surtout, que c'est des jobs de merde avec de la maintenance sur des systèmes legacy qui puent

AgliglouKelloid

il y a 18 jours

Grosse idée reçu. J'ai fais une partie de mes études à Metz, où tout le monde se destine à bosser au Luxembourg. En Info, t'avais encore le mythe comme quoi le cobol c'est trop bien parce que personne ne sait en faire et que les banques l'utilisent encore
La vérité c'est que ça paye pas plus que ça et surtout, que c'est des jobs de merde avec de la maintenance sur des systèmes legacy qui puent

exact

J'avais vu la vidéo d'underscore_ sur le sujet récemment d'ailleurs, beaucoup de conneries.

jaguaraouw

il y a 18 jours

Grosse idée reçu. J'ai fais une partie de mes études à Metz, où tout le monde se destine à bosser au Luxembourg. En Info, t'avais encore le mythe comme quoi le cobol c'est trop bien parce que personne ne sait en faire et que les banques l'utilisent encore
La vérité c'est que ça paye pas plus que ça et surtout, que c'est des jobs de merde avec de la maintenance sur des systèmes legacy qui puent

pourquoi les banques utilisent encore le cobol ? Il est si sécurisé ?

AgliglouKelloid

il y a 18 jours

pourquoi les banques utilisent encore le cobol ? Il est si sécurisé ?

C'est secure + adapté pour les traitements

Mais surtout c'est que ça leur couterait une blinde de migrer le système + énormément de risque pour finalement assez peu de retour sur investissement.

Oisisjc

il y a 18 jours

pourquoi les banques utilisent encore le cobol ? Il est si sécurisé ?

Parce que c'est le langage utilisé à l'époque, et que faire une totale refonte d'un système qui fonctionne tout le temps, et dont toute la société dépend, c'est pas que c'est impossible, mais c'est que ça coute trop cher au regard des bénéfices attendus et que ça reste un langage fiable et performant qui a fait ses preuves malgré que ce soit une chiasse à écrire

ça veut pas dire pour autant que tout le développement en banque se fait en cobol, tu vas avoir des surcouches sur ce système legacy

EDIT: Mon VDD a fait plus synthétique que moi

ZazaOfNewYork

il y a 18 jours

Je travaillais dans une strat-up qui faisait du rachat de facture. Il me suffisait de mettre mon numéro compte dans la base de données pour rediriger les paiements que je voulais sur mon compte, en un clic, je faisais ce que je voulais

Honnêtement, sur des petits paiements en remettant les bons numéro de compte par la suite, je ne suis pas sûr qu'on aurait pu déceler la manip (juste la soupçonner). Mais bon... jamais j'aurais oser faire ça

FluteDeTelemann

il y a 18 jours

Ouient
Un informaticien avait fait une erreur sur le serveur de ma banque, résultat tous les paiement par carte aux commercants etaient bloqués partout en france pendant plusieurs heures

C'était l'année dernière ? On a eu un rush de merde à cause de lui au mcdo je m'en rappelle

PourpreChat

il y a 18 jours

mais le gar qui a codé tout ça, il connait le secret non ?

Il y a pas une personne qui a tout fait.

Et s'il y en avait une elle est suffisamment payée pour pas avoir à voler la banque

PourpreChat

il y a 18 jours

C'est secure + adapté pour les traitements
Mais surtout c'est que ça leur couterait une blinde de migrer le système + énormément de risque pour finalement assez peu de retour sur investissement.

J'ai entendu l'histoire d'une banque qui avait écrit un transpiler pour convertir leur Cobol en Java

Du coup ils se sont retrouvés avec des millions de lignes de codes incompréhensibles mais en Java

Un échec fumant en somme

À voir aussi

Des gens MALADROITS QUI BOSSENT en tant que SERVEUR ?

il y a 2 mois

Des informaticiens ici ?

il y a 6 mois

bonjour les informaticiens

il y a 7 mois

Informaticien = ALPHA

il y a 9 mois

Je suis ingénieur informaticien

il y a 9 mois