Publié le 15-07-2012 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal

Pub : Tous les antivirus gratuits pour protéger et nettoyer votre ordinateur

ZATAZ.COM, des "enquêtes exemplaires et une action d'alerte irréprochable"
17ème Chambre correctionnel du TGI de Paris (07 juillet 2009)

Comment ZATAZ.COM peut vous alerter d´un problème de sécurité informatique découvert sur votre site web, votre serveur, ... ? (mise à jour le 15/07/2012)

Depuis 1996, date de création de la version Internet de ZATAZ, nous proposons de l'actualité liée à l'informatique décalée. Nous traitons de sécurité informatique, hackers, pirates, virus, vie privée sur la toile pour le grand public. Le fondateur du site est journaliste professionnel, pas un informaticien. Ce qui ne l'empêche pas de savoir de quoi il parle ou de faire appel à des professionnels pur jus. Depuis la naissance de ZATAZ.COM, près de 150.000 actualités composent le webzine (Brèves, articles, interviews, reportages, ...). Des supports numériques comme zatazweb.tv et datasecuritybreach.fr viennent renforcer les actions d'alertes mises en place par Damien Bancal, fondateur de ZATAZ.

ZATAZ.COM a pu aider, via le protocole d'alerte, près de 15.000 sociétés, privées et publiques, associations, ... Une aide visant à avertir d'une faille, d'une vulnérabilité, d'une fuite de données (Adresses eMails, bancaires, dossiers privés, ...).

Nous avons baptisé cette spécificité de ZATAZ.COM, les HaideD. De la prévention et alertes afin d'avertir d'un potentiel et gênant piratage informatique. [Quelques exemples]. Les remerciements sont TRES rares, mais ceux existants sont marquants, à l'image des cinq récompenses décernées à ZATAZ.COM par Microsoft, depuis 2009.

Les alertes sont tirées d'informations envoyées par des lecteurs [Sources préservées et anonymes*] ou trouvées par la rédaction de ZATAZ.COM.

Nous ne traitons que de problème de sécurité informatique mis en avant par un lien malheureux, un accès donné par un moteur de recherche, ou le site faillible lui même. JAMAIS de "Pen test" ou autres tentatives de piratages. Nous connaissons la loi, la respectons et mettons un point d'honneur à faire respecter les règles.

ZATAZ.COM ne relate jamais une alerte sans que le site faillible ne soit corrigé, sauf dans le cas ou l'entreprise n'a pas réagi à nos deux alertes (voir ci-dessous, ndr). Dans ce cas, notre article est diffusé sans aucune possibilité, pour les lecteurs, de retrouver la faille, la vulnérabilité en question.

ZATAZ.COM n'est pas une entreprise, une société d'audit ou commercialisant des outils de sécurité informatique. Nos alertes sont réalisées gratuitement, bénévolement. Nous ne refusons pas les dons (via Paypal). Cet argent nous permet de rembourser les frais que peuvent engendrer ses alertes. (téléphone, huissier, déplacement, ...). En 2012, depuis le 1e janvier, nous avons perçu 475 € !

Plus de 15.000 entreprises/associations ont été aidées en 16 ans. ZATAZ.COM a vécu un seul problème judiciaire. Une entreprise alertée, qui nous avait remercié, changait son fusil d'épaule et nous attaquait en justice pour diffamation. Affaire que nous avons gagné !

A noter que nous éditons, chaque année, un rapport lié au Protocole d'Alerte de ZATAZ.COM baptisé "HaideD Report" : HaideD Report 2010 [lire] ; HaideD Report 2011 [lire]. Il permet de regrouper une année d'alerte sous forme de chiffres et tableaux.

L'obligation de notification
L'article 38 de l'ordonnance du 24 août 2011 intègre un article 34 bis dans la Loi n°78-17 du 6 janvier 1978 qui institut une obligation de notification en cas de violations de données personnelles (Data Security Breach). L'obligation de notification concerne les données traitées dans le cadre de la « fourniture de services de communications électroniques ouverts au public», ce incluant également les fournisseurs « prenant en charge les dispositifs de collecte de donnée et d'identification ». [En savoir plus].

>> Notre procédure d'alerte fonctionne ainsi :

1 - ZATAZ.COM est prévenu par un lecteur ; ou la rédaction découvre un problème. Pour nous contacter, utiliser UNIQUEMENT . N'hésitez pas à utiliser PGP (GPG) pour nous contacter de maniére sécurisée ! Voici ma clé publique.

2 - Le fondateur de ZATAZ.COM (Damien Bancal et uniquement lui) vérifie l'information. Sa véracité; Son niveau de dangerosité; ... Aucune solliciation commerciale (audit, vente de produit...) n'est proposée. Seul Damien Bancal, prend contact avec les responsables des serveurs, visés par une alerte.

3 - Captures écrans (photos) et un film (capture vidéo) sont réalisés pour preuve. Des sauvegardes de preuves peuvent être effectuées à partir du cache de Google ou d'autres moteurs de recherche. Nous pouvons faire appel à Maître Dekerle, huissier de justice à Pont-à-Marcq, pour des constatations, véritable photographie juridique. Les constatations n'ont aux termes des dispositions légales qu'une valeur de simples renseignements mais les conditions dans lesquelles le constat a été établi ont un véritable caractère authentique via l'heure, le jour, la prise d'information sur la constitution des preuves.

4 - Un courriel est envoyé à l'administrateur du site via l'adresse publique qui sera trouvée sur l'espace numérique en question. Nous nous mettons dans la peau d'un internaute qui souhaite joindre un responsable et utilisons, donc, les outils qui lui sont proposés. Une alerte sur le compte Twitter @zataz officiel sera diffusée en parallèle du courriel. Elle est sous cette forme : "Protocole d'alerte @zataz n'AAA à destination du/de BBB".

AAA : le numéro de l'alerte. Ce numéro est diffusé aussi dans notre page HaideD.

BBB : le nom de l'entreprise; du CERT concerné; de l'ANSSI. 

Les alertes ne proposent JAMAIS le type de faille, son exploitation. Ces données sont transmises uniquement par téléphone aux responsables de l'entreprise/Informatique.

5 - Au bout de 7 jours sans réponse, Damien Bancal et uniquement lui, via une adresse életronique identifiable (via sa signature numérique et sa clé PGP publique), utilisera ses ressources de journaliste pour joindre le service presse et le responsable du site touché par la fuite. Ce courriel est baptisé "Alerte ZATAZ - N'XXXX - Site alerté -".

6 - Une alerte sera lancée au bout de 8 jours via le compte Twitter officiel de @ZATAZ.

7 - L'HaideD ciblé est automatiquement couplé au Député Sébastien Huyghes, à la CNIL, ainsi qu'aux différents CERT.

8 - Pour les sites étatiques (Ministères, administration, ...) nous contactons le CERT A et l'ANSSI.

7 - Aucune réponse du site contacté au bout de 9 jours ? Nous écrivons un article sur la fuite en question dans la condition ou l'écrit ne mettra pas en danger le site touché par la fuite et surtout les personnes contenues dans cette fuite. Nous considérons qu'attendre trop longtemps sans alerter l'opinion publique met en danger les personnes contenues dans les données non sécurisés. Les pirates sont de plus en plus rapide. ZATAZ.COM souhaite leur couper l'herbe sous le pied le plus rapidement possible.

8 - La correction est effectuée. La rédaction décidera si, oui ou non, un article est utile pour les lecteurs. En gros, si l'entreprise a laissé des informations sensibles (données bancaires, ...) appartenant à ses clients, il est de notre devoir d'alerter les clients. Les entreprises ont UNE OBLIGATION, en 2012, d'alerter leurs membres/clients/abonnés en cas de fuite de données.

10 - ZATAZ.COM ne réclame AUCUNE contre-partie (argent, cadeau, ...). Il est cependant possible (et agréable) de nous faire un don [Voir l'espace Paypal dédié]. L'argent des dons nous permet de payer les frais de fonctionnement de notre protocole d'alerte (téléphone, huissier, ...).

Alerte sérieuse

Voici un courriel reçu de la Fédération Française Handisport. Il exprime, clairement, le sérieux de nos alertes :

"Monsieur,

Nous avons été informés que vous aviez constaté des défaillances au niveau de notre site internet, avec des accès à certaines bases SQL notamment. Vous avez eu la gentillesse d’alerter certains membres de la fédération, toutefois ces derniers, peu spécialistes en informatique, n’ont pas mesuré l’importance de votre avertissement initial, je vous prie de nous en excuser.

Notre responsable du développement informatique et notre prestataire en charge de la maintenance de notre parc sont désormais informés pour procéder au plus vite aux corrections nécessaires.

Je tenais à vous remercier pour votre vigilance, m’excuser à nouveau du manque de réactivité à votre première alerte, nos moyens restant limités avec une petite équipe !

A l’approche des Jeux Olympiques et pour le développement du sport nous avons besoin d’outils fiables et conformes, et vous y avez ainsi contribué. Le nécessaire est en cours dans les meilleurs délais.

Avec mes remerciements,

Cordialement"

*Usage, identification et vérification des sources
La crédibilité de la presse dépend de sa transparence. Le recours à une source anonyme pour révéler une information ne doit donc être utilisé qu'en une situation tout à fait exceptionnelle, lorsqu'il n'est pas possible par aucun autre moyen de diffuser une information jugée fiable et essentielle. Choisir d'accorder l'anonymat à une source ne se fait pas sans régle. ZATAZ.COM doit s'assurer de la fiabilité de cette source. Vérifier l'authenticité de l'information obtenue.

ZATAZ.COM a, depuis sa création, comme engagement fondamental de livrer une information sûre et vérifiée, mais dans la plus grande transparence. L'anonymat à une source ne se fait pas sur une base automatique. On ne devrait pas non plus l'offrir comme monnaie d'échange à une information qui ne mérite pas un tel traitement. Un journaliste est, en cette ère d'intoxication, de plus en plus confronté à un barrage d'informations livrées par des experts dont l'intérêt justement dépend du secret. Il faut donc se prémunir contre cette forme de manipulation en discernant avec rigueur les impératifs pour lesquels l'anonymat peut être accordé.

Lorsque l'information livrée par une source est jugée d'intérêt public, il arrive que la protection de l'anonymat de la source réponde à un impératif évident. Si la source refuse de se confier publiquement pour éviter des menaces réelles ou appréhendées à sa sécurité physique, des menaces de représailles, la menace de poursuites légales ou la menace de perdre son emploi. Dans ces cas, ZATAZ.COM lui accordera l'anonymat.

Tweet

L'Agence Bolivarienne d'Activités Spatiales piratée

20-05-2013 à 00:02 - 0 commentaire(s)

L'Agence Bolivarienne d'Activités Spatiales du Venezuela infiltrée par des pirates. La base de données volée.

Fausse pub, fausse mise à jour Flash

19-05-2013 à 23:21 - 0 commentaire(s)

Depuis quelques jours, une fausse mise à jour flash apparait dans de nombreux sites Internet. Explication !

Le XSS Twitter fait encore des dégâts

19-05-2013 à 10:10 - 0 commentaire(s)

Plusieurs comptes Twitter du journal Financial Times piratés par la Syrian Electronic Army.

Big Brothers Awards, le 26 juin 2013

19-05-2013 à 00:56 - 0 commentaire(s)

Privacy France présente la 11ème édition des Big Brothers Awards le 26 juin 2013 à la Parole Errante à à Montreuil.

Cisco corrige une faille... en fait non !

18-05-2013 à 17:59 - 0 commentaire(s)

Un jeune internaute de 14 ans aide Cisco à corriger une faille. Cisco corrige... à moitié !

Opération anti Anonymous en Italie

18-05-2013 à 17:18 - 0 commentaire(s)

La police italienne a lancé l'opération Tango Down à l'encontre d'internautes soupçonnés d'avoir piraté des sites gouvernementaux sous la signature d'Anonymous.

Les Anonymous veulent libérer l'Internet Belge

18-05-2013 à 17:05 - 0 commentaire(s)

Des hacktivistes, sous la bannière Anonymous Belgium, annoncent vouloir libérer le web royal le 15 juin prochain.

Microsoft espionnerait-il via Skype ?

18-05-2013 à 16:59 - 0 commentaire(s)

Le rachat de Skype par Microsoft est-il un moyen pour l'Oncle Sam de pouvoir espionner les utilisateurs de l'outil de téléphonie via Internet ?

Cisco corrige une faille... en fait non !

Un jeune internaute de 14 ans aide Cisco à corriger une faille. Cisco corrige... à moitié !

Les Anonymous veulent libérer l'Internet Belge

Des hacktivistes, sous la bannière Anonymous Belgium, annoncent vouloir libérer le web royal le 15 juin prochain.

Arrestations dans le monde du Black Market

Après avoir piraté plusieurs banques, des pirates informatiques d'une quinzaine de pays arrêtés dans une vaste opération internationale.

Faille pour le site du CSA et Mozilla

Potentialités informatiques malveillantes pour l'espace numérique du CSA et la partie vidéos de Mozilla.

40.000

ZATAZ.COM vient de signer son 40.000ème protocole d'alerte.

Prudence aux ordinateurs en libre service dans les aéroports

Accéder au disque dur de certains ordinateurs en accès libre à Roissy. Simple comme un clic de souris.

Failles pour AOL et PhotoBucket

Deux possibilités malveillantes découvertes dans des sites du géant de l'Internet AOL et PhotoBucket.

Nouveau piratage de comptes Twitter

Les Twitters de Justin Bieber et Angelina Jolie piratés par l'Armée électronique syrienne.