Publié le 08-04-2008 à 16:05:57 dans le thème Réseau - Sécurité

Pays : France - Auteur : Damien Bancal

Pub : CA Personal Firewall 2007 - Contrecarrez les intrus!

Nous vous parlions, ce midi, d'un problème grave de confidentialité des données appartenant aux clients utilisateurs du site entreparticuliers.com (lire). Dans la foulée, nous avons appris que l'un des concurrents de ce site, Seloger.com, annonçait qu'il assignait en justice Entreparticuliers.com. Le groupe Seloger accuse des concurrents (entreparticuliers.com, Solus-immo, Yakaz, Gloobot, ...) de lui piller ses petites annonces. "Des faits qui remonteraient à 2006" indique le communiqué de presse.

Seulement, voilà des actions en justice qui s'annoncent compliquées. Nous avons découvert des espaces informatiques, appartenant au groupe seloger, pas comme les autres. Des espaces de stockage très particuliers, ouverts, lisible avec un simple navigateur web (IE, Safara, Firefox, ...), sans aucune restriction, ni avertissement.

Dans ces espaces de stockage, en cliquant sur certains fichiers accessibles, nous avons aperçu des "batchs", des routines qui tournent deux fois par jours pour mettre à jour l'ensemble des sites immobiliers du groupe (seloger; immostreet; selogerneuf; lacoteimmo). Parmi les documents accessibles, des fichiers très précis avec login et mots de passe renvoyant sur les FTP du groupe seloger. Nous vous laissons imaginer ce type de documents dans les mains d'un pirate... ou d'un concurrent.

Prévenu hier soir par la rédaction de zataz.com, la directrice de la communication, Blandine Lazennec, nous a confirmé ce jour (14h38), que le service informatique du groupe prenait en charge la correction de ces portes-ouvertes.

Mise à jour (17h33) : Le service technique de la société nous a précisé que les accès (login/ftp) ne permettaient qu'une seule chose, déposer des fichiers. En aucun cas, il était possible d'accéder aux données des autres membres ou d'en diffuser, sans l'aval d'un employé du groupe. A noter que ces fichiers (login/mot de passe) ont été référencés par Google de manière exponentielle.

Mise à jour 18h53 : Yakaz (www.yakaz.fr), entreprise fondée par Fredéric Mahé et Mathurin Ducastelle, citée dans cet article, nous a communiqué un complément d'information que voici : "Yakaz.fr conteste catégoriquement le bien fondé de l'action engagée à son encontre et qu'à ce titre, nous demanderons la comdamnation reconventionnelle de la société exploitant le site SeLoger à des dommages et intérêts pour procédure abusive". Pour le reste, et pour préciser, Yakaz.fr est un moteur de recherche (et non un meta-moteur) local qui référence toutes les petites annonces datant de moins de 15 jours, dans le domaine de l'immobilier, l'emploi, l'auto et la moto. Notre but est d'offrir aux utilisateurs une vue d'ensemble et rapide de l'offre récemment publiée sur Internet et leur permettant de comparer l'offre disponible comme le fait un shopping search, puis d'approfondir leur recherche directement sur les sites référencés. Ainsi, nous envoyons près de 100 000 visites par mois vers le site SeLoger, et ce sans revendiquer la moindre contrepartie financière. Yakaz est un moteur présent en France, UK, DE, IT, US, dans les domaines auto, moto, immobilier, emploi. Yakaz indexe référence plus de 10 millions de pages web contenant des petites annonces, parmi lesquelles celles en provenance de Seloger qui représentent 20% des annonces immobilières référencées sur Yakaz.fr (et moins de 1% de l'ensemble des url référencées sur Yakaz). De mon point de vue, c'est aussi la vision que nous partageons qui est attaquée, celle d'un web ouvert, démocratique et pluriel, dans lequel l'utilisateur conserve toute sa liberté de choisir et de comparer, comme c'est le cas pour la majeur partie des moteurs de recherche, moteurs spécialisés et comparateurs de prix. C'est cette liberté que nous offrons chaque jour à nos utilisateurs."

Mise à jour 09/04 : Gérald Poitevineau Directeur GloObot SA a souhaité réagir aux propos de SeLoger.com " GloObot, en tant que moteur de recherche, conteste formellement les allégations colportées par Seloger dans la presse ces derniers jours. GloObot rappelle qu'il respecte le choix des sites de ne pas être indexés, et qu'en l'espèce, à la première demande de Seloger faite par voie d'assignation, son site a été désindexé. GloObot le fait a chaque demande, contrairement à ce que prétendait le directeur de Seloger dans plusieurs articles récents. Enfin, gloObot attend qu'un juge se soit définitivement prononcé sur le bienfondé des demandes de Seloger avant de communiquer sur le fond de l'affaire, et ne peut pas accepter que Seloger qualifie le moteur de recherche de "pilleur d'annonces ou de bases de données" sur lesquelles Seloger va rencontrer les plus grandes difficultés à démontrer ses droits exclusifs." GloObot SA édite le moteur de recherche gloObot.com co-fondé par Sébastien Sauzay et Gérald Poitevineau depuis 2007. GloObot.com est un moteur de recherche vertical et indexe l'ensemble des pages web présentant des informations immobilières disponibles sur le web. Actuellement déployé en France, GloObot étendra prochainement son service à d'autres pays en Europe.

Le Comité d´Entreprise de GoodYear Amiens fait dans le phishing !

Exclu : Une page dédié à la banque Halifax cachée à l´insu du plein grès du Comité d'Entreprise du fabricant de pneu GoodYear, à Amiens.

DailyMotion HS: Fait trop chaud

Une panne de courant plonge plusieurs centaines de sites Internet Français dans le noir dont Dailymotion, le portail vidéo.

Interpol, nouveau membre du FIRST

La police internationale intègre le cercle du Forum of Incident Response and Security Teams, FIRST.

Fête nationale à la sauce guerre électronique

Un internaute souhaitait lancer une attaque informatique lors de la fête nationale américaine du 4 juillet. Il passera son Independance Day entre quatre murs.

Nouvelles arrestations chez wawa mania

Mercredi matin, les forces de l´ordre française auraient sonné chez de nouveaux administrateurs et uploaders du site Wawa Mania.

Sécurité et mobilité

Périphériques de stockage amovibles : une menace réelle pour la sécurité des informations en entreprises. Une tribune d´Alexei Lesnykh, Responsable du Développement International et de la Stratégie Produit de DeviceLock.

Interoute Internet Barometer

Un widget vous permet de suive en temps réel les attaques informatiques en cours.

Usenet coupable de violation de la propriété intellectuelle

Les ayants droits américains font condamner Usenet. La justice estime que Usenet est directement coupable de violation de la propriété intellectuelle.

Interpol, nouveau membre du FIRST

La police internationale intègre le cercle du Forum of Incident Response and Security Teams, FIRST.

Sécurité et mobilité

Périphériques de stockage amovibles : une menace réelle pour la sécurité des informations en entreprises. Une tribune d´Alexei Lesnykh, Responsable du Développement International et de la Stratégie Produit de DeviceLock.

Interoute Internet Barometer

Un widget vous permet de suive en temps réel les attaques informatiques en cours.

Codes d´accès de jury du bac en accès libre sur la toile

Exclusif : BACCALAUREAT GENERAL session 2009. Plusieurs dizaines d'identifiants de connexion au système de gestion des résultats du bac en accès libre sur Internet.

Problème de confidentialité corrigé sur le site Amaguiz.com

Exclusif : Le site de l´assureur low cost Amaguiz laissait en accès libre plusieurs miliers de dossiers clients. L´espace a été corrigé suite à notre alerte.

Un piège électronique sur le site Presseregional.fr

Exclusif : Étrange fichier découvert sur le site Internet Presseregional.fr, le portail web du Syndicat de la presse quotidienne régionale.

Facebook corrige une faille liée à la vie privée de ses abonnés

Une faille permettait de rentrer dans la vie privée des abonnés de Facebook. Le site vient de corriger 3 semaines après l´alerte.

Des abonnés de Free et Neuf télécom s'échangeraient leurs connexions

Marché noir autour des identifiants appartenant à des clients Freewifi et Neuf télécom Wifi.

Réagissez à ce contenu