Publié le 08-08-2009 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal

Pub : Tous les logiciels antiphishing gratuits disponibles sur Internet

ZATAZ.COM, des "enquêtes exemplaires et une action d'alerte irréprochable"
17ème Chambre correctionnel du TGI de Paris (07 juillet 2009)

Comment ZATAZ.COM peut vous alerter d´un problème de sécurité informatique découvert sur votre site web, votre serveur, ... ? (mise à jour le 24/12/2011)

Depuis 1996, date de création de la version Internet de ZATAZ, nous proposons de l'actualité liée à l'informatique décalée. Nous traitons de sécurité informatique, hackers, pirates, virus, vie privée sur la toile pour le grand public. Le fondateur du site est journaliste professionnel, pas un informaticien. Ce qui ne l'empêche pas de savoir de quoi il parle ou de faire appel à des professionnels pur jus.

Depuis 1998, près de 100.000 actualités composent ZATAZ.COM (Brèves, articles, interviews, reportages, ...)

ZATAZ.COM a pu aider près de 13.500 sociétés, privées et publiques, associations, ...

Une aide visant à avertir d'une faille, d'une vulnérabilité, d'une fuite de données (Adresses eMails, bancaires, dossiers privés, ...).

Nous avons baptisé cette spécificité de ZATAZ.COM, les HaideD. Des alertes pour prévenir d'un potentiel et gênant HackeD, d'un piratage informatique. [Quelques exemples]. Les remerciements sont TRES rares, mais ceux existants sont marquants, à l'image des 4 récompenses décernées à ZATAZ.COM par Microsoft.

Les alertes sont tirées d'informations envoyées par des lecteurs [Sources préservées et anonymes*] ou trouvées par la rédaction de ZATAZ.COM.

Nous ne traitons que de problème de sécurité informatique mis en avant par un lien malheureux, un accès donné par un moteur de recherche, ou le site faillible lui même. JAMAIS de "Pen test" ou autres tentatives de piratages. Nous connaissons la loi, la respectons et mettons un point d'honneur à faire respecter les règles.

ZATAZ.COM ne relate jamais une alerte sans que le site faillible ne soit corrigé, sauf dans le cas ou l'entreprise n'a pas réagi à nos trois alertes (voir ci-dessous, ndr). Dans ce cas, notre article est diffusé sans aucune possibilité, pour les lecteurs, de retrouver la faille, la vulnérabilité en question.

ZATAZ.COM n'est pas une entreprise, une société d'audit ou commercialisant un quelconque outil de sécurité informatique. Nos alertes sont réalisées gratuitement, bénévolement. Nous ne refusons pas les dons (via Paypal). cet argent nous permet de rembourser les frais que peuvent engendrer ses alertes. (téléphone, huissier, déplacement, ...).

Plus de 13.500 entreprises/associations ont été aidées en 15 ans. ZATAZ.COM a vécu un seul problème judiciaire. Une entreprise alertée, qui avait remercié, changait son fusil d'épaule et nous attaquait en justice pour diffamation. Affaire que nous avons gagné !

A noter que nous éditons, chaque année, un rapport lié au Protocole d'Alerte de ZATAZ.COM baptisé "HaideD Report" : HaideD Report 2010 [lire] ; HaideD Report 2011 [lire].

L'obligation de notification
L'article 38 de l'ordonnance du 24 août 2011 intègre un article 34 bis dans la Loi n°78-17 du 6 janvier 1978 qui institut une obligation de notification en cas de violations de données personnelles (Data Security Breach). L'obligation de notification concerne les données traitées dans le cadre de la « fourniture de services de communications électroniques ouverts au public», ce incluant également les fournisseurs « prenant en charge les dispositifs de collecte de donnée et d'identification ». [En savoir plus].

>> Notre procédure d'alerte fonctionne ainsi :

1 - ZATAZ.COM est prévenu par un lecteur ; ou la rédaction découvre un problème. Pour nous contacter, utilisez UNIQUEMENT l'adresse urgent[AT]zataz.com. N'hésitez pas à utiliser PGP (GPG) pour nous contacter de maniére sécurisée ! Voici ma clé publique.

2 - Le fondateur de ZATAZ.COM (Damien Bancal et uniquement lui) vérifie l'information. Sa véracité; Son niveau de dangerosité; ...

3 - Captures écrans (photos) et un film (capture vidéo) sont réalisés pour preuve. Des sauvegardes de preuves peuvent être effectuées à partir du cache de Google ou d'autres moteurs de recherche. Nous pouvons faire appel à Maître Dekerle, huissier de justice à Pont-à-Marcq, pour des constatations, véritable photographie juridique. Les constatations n'ont aux termes des dispositions légales qu'une valeur de simples renseignements mais les conditions dans lesquelles le constat a été établi ont un véritable caractère authentique via l'heure, le jour, la prise d'information sur la constitution des preuves.

4 - Un courriel est envoyé à l'administrateur du site via l'adresse publique qui sera trouvée sur le site en question. Nous nous mettons dans la peau d'un internaute qui souhaite joindre un responsable du site.

5 - Au bout de 7 jours sans réponse, Damien Bancal et uniquement lui, via une adresse életronique identifiable via sa signature numérique et sa clé PGP publique, utilisera ses ressources de journaliste pour joindre le service presse et le responsable du site touché par la fuite. Ce courriel est baptisé "haided ciblé".

6 - Une alerte sera lancée au bout de 8 jours via le compte Twitter de @ZATAZ.

7 - L'HaideD ciblé est automatiquement couplé au Député Sébastien Huyghes (Commissaire à la CNIL), ainsi qu'aux différents CERT (CERT A ;  CERT IST). Dans les cas les plus graves (Données bancaires, ...) nous alertons aussi le Chef de l'opérationnel à l'OCLCTIC, l'Office central de lutte contre la criminalité liée aux technologies de lʼinformation et de la communication et/ou des NTECH de la Gendarmerie Nationale.

8 - Pour les sites étatiques (Ministères, administration, ...) nous contactons le CERT A.

7 - Aucune réponse du site contacté au bout de 9 jours ? Nous écrirons un article sur la fuite en question dans la condition ou l'écrit ne mettra pas en danger le site touché par la fuite et surtout les personnes contenues dans cette fuite. Nous considérons qu'attendre trop longtemps sans alerter l'opinion publique met en danger les personnes contenues dans les données non sécurisés. Les pirates sont de plus en plus rapide. ZATAZ.COM souhaite leur couper l'herbe sous le pied le plus rapidement possible.

8 - La correction est effectuée. La rédaction décidera si, oui ou non, un article est utile pour les lecteurs. En gros, si l'entreprise a laissé des informations sensibles (données bancaires, ...) appartenant à ses clients, il est de notre devoir d'alerter les clients. Les entreprises ont UNE OBLIGATION, en 2012, d'alerter leurs membres/clients/abonnés en cas de fuite de données.

10 - ZATAZ.COM ne réclame AUCUNE contre-partie (argent, cadeau, ...). Il est cependant possible (et agréable) de nous faire un don [Voir l'espace Paypal dédié]. L'argent des dons nous permet de payer les frais de fonctionnement de notre protocole d'alerte (téléphone, huissier, ...).

*Usage, identification et vérification des sources
La crédibilité de la presse dépend de sa transparence. Le recours à une source anonyme pour révéler une information ne doit donc être utilisé qu'en une situation tout à fait exceptionnelle, lorsqu'il n'est pas possible par aucun autre moyen de diffuser une information jugée fiable et essentielle. Choisir d'accorder l'anonymat à une source ne se fait pas sans régle. ZATAZ.COM doit s'assurer de la fiabilité de cette source. Vérifier l'authenticité de l'information obtenue.

ZATAZ.COM a, depuis sa création, comme engagement fondamental de livrer une information sûre et vérifiée, mais dans la plus grande transparence. L'anonymat à une source ne se fait pas sur une base automatique. On ne devrait pas non plus l'offrir comme monnaie d'échange à une information qui ne mérite pas un tel traitement. Un journaliste est, en cette ère d'intoxication, de plus en plus confronté à un barrage d'informations livrées par des experts dont l'intérêt justement dépend du secret. Il faut donc se prémunir contre cette forme de manipulation en discernant avec rigueur les impératifs pour lesquels l'anonymat peut être accordé.

Lorsque l'information livrée par une source est jugée d'intérêt public, il arrive que la protection de l'anonymat de la source réponde à un impératif évident. Si la source refuse de se confier publiquement pour éviter des menaces réelles ou appréhendées à sa sécurité physique, des menaces de représailles, la menace de poursuites légales ou la menace de perdre son emploi. Dans ces cas, ZATAZ.COM lui accordera l'anonymat.

Tweet

EDF : Avis de coupure de courant par email

01-02-2012 à 13:42 - 0 commentaire(s)

Depuis quelques jours, un faux courriel aux couleurs d'EDF inquiété les internautes Français.

Les emails de du président syrien Bachar el-Assad piratés

01-02-2012 à 13:30 - 0 commentaire(s)

Un hacker saoudien aurait réussi à pirater pour 4Go de données emails appartenant au président syrien Bachar el-Assad.

Les impôts vous doivent des sous

31-01-2012 à 19:34 - 0 commentaire(s)

INFO ZATAZ - Un courrier électronique aux couleurs du Ministère du budget, des comptes publics et de la fonction publique vous annonce un remboursement de 178 euros.

Des jeux en ligne pour enfants attendrissants mais infectés de virus

30-01-2012 à 21:59 - 0 commentaire(s)

Les jeux online pour enfants ne sont pas sans danger. Plus de 60 sites infectés au cours des 30 derniers jours.

Prison ferme et lourde amende pour des pirates de film

30-01-2012 à 21:48 - 0 commentaire(s)

4 mois ferme, plus de 77 000 euros d´amende. Sept pirates de film du nord de la France condamané par le Tribunal de Béthune.

Des déclarations numériques de TVA se perdent sur le web

30-01-2012 à 21:40 - 0 commentaire(s)

INFO ZATAZ - Une jeune entreprise Française en a marre de recevoir des déclarations de TVA qui ne lui sont pas adressées.

Mon papa est un pirate

30-01-2012 à 18:44 - 0 commentaire(s)

Le pére et son fils pirataient des données bancaires. Ils risquent aujourd´hui la prison à vie.

Ipad 3 à gagner sur Facebook

30-01-2012 à 17:08 - 0 commentaire(s)

Les rumeurs vont bon train sur la date de sortie de la nouvelle génération d'iPad et les spammers se préparent à escroquer les impatients.

Prudence aux liens vers Darty et ELLE

Des vulnérabilités ont été découvertes sur les sites RueDuCommerce, Darty et du journal ELLE. Prudence aux liens exterieurs.

Quand des Anonymous tapent sur des Anonymous, ça mousse

INFO ZATAZ - Des Anonymous reprochent à d´autres Anonymous d'avoir piraté des sites appartenant à la mouvance d'extrême droite. Pour les punir, leurs identités sont diffusées sur la toile.

Les informations confidentielles de 541 policiers Français diffusées par les Anonymous

Les Anonymous diffusent sur Internet l´identités et des informations confidentielles de plusieurs centaines de policiers Français.

Faille pour Myspace

Info ZATAZ - Une vulnérabilité de type Cross-Site Scripting vise le portail communautaire MySpace.

Multiples failles pour le site économique Forbes

INFO ZATAZ - Plusieurs vulnérabilités touchent le site économique américain Forbes. Les lecteurs peuvent être touchés directement.

La ville de Béthune corrige une fuite de données

INFO ZATAZ - Une méga fuite de données permettait d´accéder à une imposante base de données appartenant à la Mairie de Béthune.

Le site de Vivendi piraté par des Anonymous

INFO ZATAZ - Des internautes punissent Vivendi en piratant le site de la major. La société aurait trahis l´esprit d´Internet.

Redirection dangereuse pour Google books

INFO ZATAZ - Un url officiel Google permet de rediriger ou permettre un téléchargement malveillant.

Réagissez à ce contenu