Actualité
France Pittoresque ne prend plus l'eau
Publié le 28-08-2008 à 12:46:22 dans le thème Réseau - Sécurité
Pays : France - Auteur : Damien Bancal
Pub : CA Anti-Spyware 2007 - Les logiciels espions sont notre cible avant que vous ne deveniez la leur!
Le site Internet France Pittoresque, île installée sur Second Life? corrige sa diffusion d'information liée à ses membres... et menace ZATAZ.COM
Nous vous indiquions, mercredi, comment une fuite d'informations liées aux membres du site France Pittoresque était accessible sur Internet, via un simple navigateur, sans protection [lire]. Ouvrant la possibilité à un pirate de diffuser de faux mels aux membres pour tenter de les piéger. Nous n'avions jamais dit que le pirate pouvait avoir accès aux comptes (erreur, nous voulions parler de mot de passe, NDR). Le site affilié à Second Life ne protégeait ni le courriel, le login, et ce qui semblait être un mot de passe (crypté) des membres. Le site a corrigé sa "fuite" et a souhaité nous remercier via le mel suivant :
> Madame, Monsieur,
> Nous avons été informés d'un article publié sur votre site
> http://www.zataz.com/news/17700/fuite--donnees--france-pittoresque.html
> et intitulé "France-pittoresque.net prend l'eau" et selon lequel les
> mots de passe des nouveaux inscrits via le site France-Pittoresque.net
> seraient accessibles à tous. *Cette information diffamatoire car
> mensongère a par ailleurs été reprise par d'autres sites et blogs à
> l'aveugle*.
> 1° L'affirmation selon laquelle *les mots de passe des inscrits via
> France-Pittoresque.net sont accessibles est fausse* : ni La France
> Pittoresque ni un tiers ne peut y avoir accès, hormis Linden Lab lui-même
> 2° L'application PHP gérant l'enregistrement d'un nouveau membre
> (RegAPI) via France-Pittoresque.net a été contrôlée et validée par
> Linden Lab avant l'acceptation par ce dernier d'intégrer France
> Pittoresque dans les zones d'accueil francophones
> 3° Cette *application gérant l'inscription via France-Pittoresque.net a
> été fournie à La France Pittoresque par l'une des 9 sociétés directement
> recommandées par Linden Lab* sur la page
> http://wiki.secondlife.com/wiki/RegAPI/Third_Party_Support
> Vous affirmez nous avoir envoyé 2 mails à ce sujet : nous n'avons aucune
> trace de ces mails.
> A ce jour, plus aucun fichier ne consigne les adresses mails des
> nouveaux inscrits, et l'application fournie par la société eMagine
> (recommandée par Linden Lab comme indiqué précédemment) ne permet pas
> l'accès à une quelconque information sur les nouveaux inscrits, hormis
> par Linden Lab.
> Pour information, le blog est, tout comme un site Internet classique, un
> service de communication au public soumis à la loi du 21 juin 2004 sur
> la confiance dans l’économie numérique (LCEN). L’article 93-3 de la loi
> du 29 juillet 1982 sur les infractions de presse dont la diffamation et
> l’injure est applicable aux blogs (et donc aux sites Internet en
> général). Selon l’article 29 de la loi du 29 juillet 1881, *"toute
> allégation ou imputation d’un fait qui porte atteinte à l’honneur ou à
> la considération de la personne ou du corps auquel le fait est imputé"
> constitue une diffamation*, à partir du moment où la personne attaquée
> est clairement identifiable
> L’application de cette loi ne semble pas faire de doute lorsque le
> contenu d’un billet (blog) ou d’une page (site Web) contient
> explicitement un acte de diffamation ou d’injure. Dans ce cas du blog,
> la responsabilité de l’auteur est engagée, en tant que directeur de la
> publication et cette responsabilité porte aussi bien sur le contenu des
> billets que sur les propos tenus dans les commentaires (même si, dans ce
> cas, il n’en est pas l’auteur principal).
> En l'occurrence, le responsable, personne physique ou morale, de votre
> site Internet à l'origine de l'information fausse selon laquelle les
> mots de passe des membres inscrits via France-Pittoresque.net sont
> accessibles à tous, tombe sous le coup de cette loi.
> *Nous demandons par ailleurs l'exercice de notre droit de réponse*, le
> décret relatif à ce droit, applicable aux services de communication au
> public en ligne, ayant été adopté le 24 octobre 2007 et pris en
> application du point IV de l’article 6 de la LCEN. Ce même article 6.IV
> de la LCEN renvoie à l’article 13 de la loi du 29 juillet 1881,
> précisant ainsi que l’insertion de la réponse doit se faire à la même
> place et dans les mêmes caractères que le message critiqué. Enfin,
> l’exercice de ce droit de réponse n’a pas pour effet de nous retirer le
> droit à demander la suppression du contenu litigieux, ou sa correction.
> Louis THIBERVILLE
>
> *Service juridique*
> *La France pittoresque*
Voilà donc afficher leur droit de réponse. Pourtant, nous avions écrit à cette société par deux fois: 16 juillet à 17h32, puis le 20 août à 11h27. Pas d'informations dans le document log qui était accessible sur le site ? Voici notre exemple. Nous nous étions inscrits sur cet espace. Nos informations étaient dans la base de données accessible sur Internet... Une base de données qui a été effacée depuis notre première brève :
Wed, 27 Aug 2008 14:15:48 +0200 <- Date d'inscription
8025a24c-8cc6-4acb-8459-d00be163baaf <- Ce que nous pensions être le mot de passe crypté mais qui est en fait Le "UUID" (Universal Unique Identifier) pour Second Life, une sorte de carte d'identité numérique.
ZATAZdotCOM Zanzibar <- Prénom et Nom
8589 <- n' de membre
xxx(dot)zataz.com <- mel du membre
Ce document "log" était baptisé suclog.log, on en retrouve d'ailleurs une trace sur Google. L'aspirateur international avait vu cette fuite bien avant nous.
Bref, le plus important est que cette fuite d'information soit colmatée. Comme nous l'expliquions, les données auraient pu servir à un pirate. Ce dernier aurait pu utiliser les courriels des membres dans un spam ciblé et piégeur, aux couleurs de France Pittoresque, avec l'intention de faire télécharger une fausse mise à jour de Second Life pouvant contenir un virus. Nous notre rôle est d'informer le mieux possible, si une entreprise ne répond pas à nos alertes, il est de notre devoir d'en informer les clients.
Droit de réponse II de France Pittoresque :
"L'article initialement publié le 27 août 2008 (et modifié le 28) sur votre site à l'adresse http://www.zataz.com/news/17700/fuite--donnees--france-pittoresque.html et intitulé France-pittoresque.net prend l'eau indiquait que les login, mail et mot de passe de tout nouvel inscrit sur Second Life via le site France-Pittoresque.net était accessible à tous. Cette affirmation est fausse, mensongère et diffamatoire.
Notre mail du 28 août en réaction à la lecture de cet article ne constituait nullement une menace comme vous l'affirmez aujourd'hui, mais visait simplement à vous rappeler les responsabilités qui sont les vôtres en tant qu'auteur d'un texte diffusé sur le Net. En effet, contrairement à ce que vous affirmiez dans cet article du 27 août, l'accès au mot de passe de tout nouvel inscrit est impossible et n'est connu que des services de Linden Lab, société éditant Second Life.
De surcroît, l'application PHP gérant l'enregistrement d'un nouveau membre (RegAPI) via France-Pittoresque.net a été contrôlée et validée par Linden Lab avant l'acceptation par ce dernier d'intégrer France Pittoresque dans les zones d'accueil francophones, et a été fournie à La France pittoresque par la société eMagine, l'une des 9 sociétés directement recommandées par Linden Lab sur la page http://wiki.secondlife.com/wiki/RegAPI/Third_Party_Support . Jusqu'à preuve du contraire, Linden Lab est responsable du contenu mis en ligne sur le site http://www.secondlife.com, et la mise à la disposition de potentiels clients d'une liste de sociétés susceptibles de fournir à ces derniers l'application RegAPI relève directement de la responsabilité de Linden Lab, éditeur du site.
Vous affirmez, dans la version modifiée en date du 28 août 2008 de votre article située à l'adresse http://www.zataz.com/news/17702/France-Pittoresque-corrige-sa-fuite-information.html et intitulé France-Pittoresque.net ne prend plus l'eau : « Nous n'avions jamais dit que le pirate pouvait avoir accès aux comptes, seulement que le site affilié à Second Life ne protégeait ni le courriel, le login, et ce qui semble être un mot de passe (crypté) des membres ». Or depuis quand une personne qui aurait un accès aux login et mot de passe n'aurait pas accès au compte ? Ainsi, en prétendant que les login et mot de passe soi-disant crypté d'un membre n'étaient pas protégés, vous affirmiez de fait que l'accès au compte du membre était possible, ce qui une fois encore, constitue une affirmation fausse, mensongère et diffamatoire.
En outre, le fichier suclog.log auquel vous faites référence dans votre article modifié n'était pas accessible à tous. Seules les personnes ayant obtenu l'application RegAPI moyennant paiement auprès de la société eMagine, étaient en mesure de connaître le nom du fichier utilisé par défaut dans leur application. En divulguant le nom de ce fichier dans votre article du 28 août 2008, vous révélez au grand public le nom d'un fichier que l'ensemble de clients de la société eMagine utilisant leur RegAPI sont susceptibles de posséder sur leurs serveurs. Et partant, vous donnez l'occasion aux spammeurs d'utiliser ce même fichier : curieuse démarche pour un site prétendant défendre les intérêts d'autrui, et curieuse éthique.
Nous maintenons en effet nos propos quant aux mots de passe. Vous devriez faire preuve d'un peu plus d'humilité dans le mail que vous nous avez envoyé le 28 août 2008 quant au " 8025a24c-8cc6-4acb-8459-d00be163baaf <- mot de passe crypté (crackable)" que vous arborez fièrement comme une preuve tangible de l'accessibilité aux mots de passe des nouveaux inscrits. Cette chaîne de caractère n'est ni plus ni moins que l'identifiant SL (UUID) d'un avatar, n'ayant aucun caractère secret et ne permettant en aucune manière de remonter au mot de passe. Avant publication de votre article du 27 août 2008, vous ne vous êtes pas assuré que cet identifiant n'avait absolument rien d'un mot de passe, préférant affirmer d'emblée et sans la moindre preuve venant étayer ses affirmations, qu'il s'agissait d'un mot de passe « crypté », prenant ainsi le risque de voir une information erronée être diffusée par des sites reprenant celle-ci aveuglément.
Enfin, la deuxième Gateway francophone, à savoir Gaia, a connu exactement la même situation plusieurs mois durant (création du fichier suclog.log par le RegAPI fourni par la même société eMagine) : le fichier suclog.log a été effacé le 28 août 2008 sur http://www.electrosphere.fr/e107_plugins/regapi suite à la parution de votre article du 27, et tous les mails, logins et UUID des nouveaux inscrits Second Life via le site Electrosphere étaient encore consultables le 27 août 2008 pour la période du 5 juillet au 30 septembre 2007. Nous nous étonnons que cette information « accessible » depuis plus d'un an ait échappé à votre vigilance, cependant que la présence de ce fichier sur France Pittoresque ait retenu votre attention… Votre premier réflexe, en observant le phénomène sur la Gateway francophone France Pittoresque, aurait dû être de vous assurer de la présence ou non de ce même fichier concernant la deuxième Gateway francophone, Gaia. Nous serions légitimement tentés de voir dans cet oubli une manœuvre à dessein… Quoi qu'il en soit, la présence de ce fichier même fichier suclog.log sur le serveur d'Electrosphere jusqu'à la date du 28 août 2008 à 13h47 infirme le commentaire du pseudonyme kerunix ajouté au bas de votre article http://www.zataz.com/news/17702/France-Pittoresque-corrige-sa-fuite-information.html selon lequel, nous citons : « D'ailleur j'utilise la même application de chez eMagine (mais que j'ai modifié de fond en comble) ». L'expression « de fond en comble » est en effet fort malheureuse, puisque la modification permettant de ne pas générer par défaut le fichier suclog.log, n'avait pas été effectuée pour la période du 5 juillet au 30 septembre 2007.
Valéry VIGAN
Directeur de la publication
La France pittoresque"
Voilà donc le droit de réponse de La France Pittoresqie. Juste un petit détail, de taille. Plusieurs lecteurs, membres de ce réseau, ont trouvé ce fichier .log en tapant dans Google, uniquement et simplement, leur identité (nom, mel, ...) laissée sur France Pittoresque. Ils nous ont averti après notre premiére breve. Un fichier .log qui renvoyait bien sur le serveur de ce site. Un exemple concret proposé par Google. Il suffit de taper "partenariat" et "France Pittoresque", par exemple, donc sans être obligé de connaitre le suclog.log, [lire] pour tomber sur les informations laissées par le service partenariat.
Bref, la fuite est corrigée, pas de mot de passe dans la nature, uniquement des centaines de mels, identités et pseudos ! Pas de sombre "dessein" dans nos agissements depuis plus de 12 ans, seulement aider. Désolé pour ce que nous pensions être un mot de passe codé en Md5. Dernière chose, merci aussi d'avoir balancé sur vos concurrents de chez Electrosphere. Nous n'étions pas au courant, mais voilà qui est fait. A noter que nous avons retourné Google dans tous les sens pour retrouver une trace de ce fichier chez Electrosphere [voir], nous ne l'avons pas trouvé et la cache de Google est bien vide. Nous attendons avec impatience le droit de réponse du droit de réponse de Gaia.
Droit de réponse de GAIA au Droit de réponse du Droit de réponse :
"Comme l'a indiqué France pittoresque, j'avais effectivement laissé traîner un vieux fichier suclog.log qui n'était plus utilisé. Ce fichier correpond à 3 jours de production : du 27 septembre au 30 septembre. La période du 5 Juillet au 27 septembre correspond a une periode de test, avec la création d'avatar suivant :
regapi1 Rhode
regapi2 Rhode
...
regapiN Rhodes et d'autres avatar de tests que j'ai pu creer : (flower flow, hyperfluid flow, ... )
La periode du 27 au 30 (3 jours) correspond effectivement à des vrais emails d'une mise en production de la gateway qui a eu lieu 3 jours plus tôt que prévu. (27 au lieu du 1er). Le reste (11 mois de production) est protégé comme il se doit... Mais j'avais "laissé traîner" ce vieux fichier, mea culpa, et je l'ai dégagé suite à la publication de votre article sur france pittoresque. (j'ai passé la matinée à auditer mon site à cause de vos bêtises).
J'avoue que j'apprécie moyennement que France Pittoresque s'en prenne a moi comme si j'étais responsable de leurs mésaventures. J'apprécie encore moins qu'ils aient cherché à accéder a mes logs alors que RIEN (pas même google) ne permettais de connaître l'existence de ces logs sur mon site. A moins d'avoir le code source de l'application bien sur, qu'ils ont forcement puisqu'ils utilisent la même application que moi, que je leur ai recommandé ...
M'enfin bon, c'est la vie hein ... j'ai l'habitude de ce genre de coup foireux entre admin de point d'accueil Second Life.
J'en profite pour présenter publiquement mes excuses aux 3 jours d'avatars qui se sont ainsi retrouvé dans un fichier de log ... accessible uniquement à ceux ayant accès au code source de la gateway. A savoir : moi, france pittoresque et éventuellement d'autres gateway utilisant cette application là (sachant qu'il n'y a qu'une douzaine de gateway dans le monde, et qu'ils n'utilisent pas tous cette application). Mes logs n'étant pas accessible sur Google, ca fait pas foule. Et les gestionnaires de Community Gateway ont *normalement* d'autres chats à fouetter que d'aller regarder dans le log des autres ...
Kerunix Flan
Administrateur Gaia/Electrosphère, selon l'humeur."
Voilà, ici se termine le droit de réponse du droit de réponse qui répondait au droit de réponse..
Derniers contenus
Le Comité d´Entreprise de GoodYear Amiens fait dans le phishing !
Exclu : Une page dédié à la banque Halifax cachée à l´insu du plein grès du Comité d'Entreprise du fabricant de pneu GoodYear, à Amiens.
DailyMotion HS: Fait trop chaud
Une panne de courant plonge plusieurs centaines de sites Internet Français dans le noir dont Dailymotion, le portail vidéo.
Interpol, nouveau membre du FIRST
La police internationale intègre le cercle du Forum of Incident Response and Security Teams, FIRST.
Fête nationale à la sauce guerre électronique
Un internaute souhaitait lancer une attaque informatique lors de la fête nationale américaine du 4 juillet. Il passera son Independance Day entre quatre murs.
Nouvelles arrestations chez wawa mania
Mercredi matin, les forces de l´ordre française auraient sonné chez de nouveaux administrateurs et uploaders du site Wawa Mania.
Sécurité et mobilité
Périphériques de stockage amovibles : une menace réelle pour la sécurité des informations en entreprises. Une tribune d´Alexei Lesnykh, Responsable du Développement International et de la Stratégie Produit de DeviceLock.
Interoute Internet Barometer
Un widget vous permet de suive en temps réel les attaques informatiques en cours.
Usenet coupable de violation de la propriété intellectuelle
Les ayants droits américains font condamner Usenet. La justice estime que Usenet est directement coupable de violation de la propriété intellectuelle.
Sur le même thème : Réseau - Sécurité
Interpol, nouveau membre du FIRST
La police internationale intègre le cercle du Forum of Incident Response and Security Teams, FIRST.
Sécurité et mobilité
Périphériques de stockage amovibles : une menace réelle pour la sécurité des informations en entreprises. Une tribune d´Alexei Lesnykh, Responsable du Développement International et de la Stratégie Produit de DeviceLock.
Interoute Internet Barometer
Un widget vous permet de suive en temps réel les attaques informatiques en cours.
Codes d´accès de jury du bac en accès libre sur la toile
Exclusif : BACCALAUREAT GENERAL session 2009. Plusieurs dizaines d'identifiants de connexion au système de gestion des résultats du bac en accès libre sur Internet.
Problème de confidentialité corrigé sur le site Amaguiz.com
Exclusif : Le site de l´assureur low cost Amaguiz laissait en accès libre plusieurs miliers de dossiers clients. L´espace a été corrigé suite à notre alerte.
Un piège électronique sur le site Presseregional.fr
Exclusif : Étrange fichier découvert sur le site Internet Presseregional.fr, le portail web du Syndicat de la presse quotidienne régionale.
Facebook corrige une faille liée à la vie privée de ses abonnés
Une faille permettait de rentrer dans la vie privée des abonnés de Facebook. Le site vient de corriger 3 semaines après l´alerte.
Des abonnés de Free et Neuf télécom s'échangeraient leurs connexions
Marché noir autour des identifiants appartenant à des clients Freewifi et Neuf télécom Wifi.
Vos réactions ( 19 )
1 2
Ecrit par kerunix le 28.08.2008 à 13h47 | |||
|
|||
Ecrit par oimgg le 28.08.2008 à 14h29 | |||
|
|||
?Ecrit par DD_Ra le 28.08.2008 à 14h57 | |||
|
|||
Ecrit par DD_Ra le 28.08.2008 à 15h00 | |||
|
|||
Ecrit par devel le 28.08.2008 à 23h23 | |||
|
|||
Ecrit par francepittoresque le 29.08.2008 à 17h51 | |||
|
|||
Ecrit par kerunix le 29.08.2008 à 18h33 | |||
|
|||
Ecrit par kerunix le 29.08.2008 à 18h58 | |||
|
|||
Ecrit par devel le 30.08.2008 à 10h37 | |||
|
|||
Ecrit par kerunix le 30.08.2008 à 10h50 | |||
|
|||
1 2
Réagir
- Dans le cœur de Wawa mania
- Michael Jackson est vivant
- Nouvelles arrestations chez wawa mania
- DailyMotion HS: Fait trop chaud
- The Pirate Bay veut surfer sur le streaming
- Pirate Bay racheté par un éditeur de jeu vidé...
- Piège Twitter
- Interoute Internet Barometer
- Usenet coupable de violation de la propriété ...
- Forfaits vraiment illimités chez Virgin Mobil...
- Une enseignante diffuse du X perso à ses élèv...
- Fable 3 confirmé
- Ecran USB MIMO
- Diabolo : une radio numérique internet
- En moyenne dès 10 ans sur Internet, pour y fa...
- HTC Hero, le smartphone superhero
- Gathera : gérer vos comptes sociaux depuis le...
- Microsoft Bing : trucs et astuces
- Air Keyboard – clavier à détection de mouveme...
- Poc Phpmyadminrce.sh Cve-2009-1151 - Phpmyadm...
- Petits cubes, gros problème
- Distributeur de billets piégé
- Sality.AO, un virus entre passé et présent
- Faille pour Reader d'Adobe
- Faille pour Internet Explorer 7
- Chasseur de Shell/SQL
- Joomla! powa !
- Déni de service par SMS pour Nokia.
- Compromission de système par le biais de xter...
- Déni de service distant pour VMware
- Droit et Justice en ligne - Mai 2009
- Plus d'un million de mels en accès libre chez...
- Une filiale de Total en accès libre sur Inter...
- Salade de bugs pour PastaParty.com
- L´actualité juridique du mois de février 2009
- Fuite de données corrigée pour le site Vetito...
- L´actualité juridique du mois d´octobre
- Le petit business warez ne connait pas la cri...
- L´actualité juridique du mois de septembre
- L'actualité juridique du mois de Juin
Derniers communiqués de presse
Un site pour sauver des vies
Le groupe de protection sociale Vauban Humanis lance le premier site de localisation de défibrillateurs en France.
La version bêta de BitDefender 2010 désormais disponible en français
BitDefender a le plaisir d´annoncer pour la première fois la disponibilité en langue française de la version bêta de sa solution de sécurité BitDefender Total Security 2010.
Interface de programmation RapiShare disponible
RapidShare donne l´accès à son interface de programmation d´applications. Celle-ci permettra aux développeurs privés et professionnels d´intégrer rapidement et facilement la technologie RapidShare dans leurs outils.
Forfaits vraiment illimités chez Virgin Mobile
Virgin Mobile révolutionne le marché et lance les premiers forfaits vraiment illimités.
Stars-buzz.com
Clara plume: P?tit plaisir à saisir
« J?ai juste envie de parler aux gens », dit Clara Plume. Et elle parle ! C?est d?ailleurs de la parole qu?elle vient : enfance à la fois classique et bohème, encouragée à écrire aussi naturellement qu?elle lit, et à s?exprimer aussi passionnément qu?elle écoute. Elle devient comédienne, monte des pièces, en écrit, les jette, [...]
Speech Debelle, le nouveau clip sur Stars-buzz
Better Days a été produit par Plutonic Lab pendant le séjour de Speech en Australie. Après plusieurs idées de featuring, elle s?est finalement décidée pour Micachu qui a su insuffler sa touche brit-pop unique au titre. Le résultat est dément. Le son est chaleureux, groovy, sensuel. Le beat funky contraste avec la profondeur de la contrebasse [...]
Marie Espinosa, la démarante
Marie Espinosa marquée par Jane Birkin et Françoise Hardy sortira son premier album à la rentrée chez Remark (ULM/Universal Music). Une galette suave baptisée « La démarrante » et qui annonce un son mélodieux. C’est du moins ce que nous a fait saliver de plaisir le premier single de la belle, « Charmante jeune fille [...]
Street Hero
Street Hero ? Saut sur un bus avec caméra embarquée ? Saut freestyle d?un immeuble sur des bus en caméra embarquée. A voir ! Des bus, un immeuble et un jeune sautillant Yamakazi à la sauce anglaise. Etonnant, c’est le buzz vidéo du moment. Soleil, fun et juillet, voilà une période ou l’on peut se lacher un peu [...]
