Publié le 13-11-2008 à 08:05:16 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal

Pub : Participez à des batailles navales sanglantes et gagnez 10000 € sur Bigpoint.fr

Bases de données, informations sensibles, contenus bancaires. Les chasseurs de renseignements sur la toile prennent de plus en plus de pouvoir, au grand dam des internautes. Enquête et interview exclusive.

Trouver des données sensibles sur la toile, simple comme bonjour. Trop simple même. Aujourd'hui, la majorité des doigts se tendent vert le moteur de recherche Google. Ce dernier aspire tout ce qu'il peut, voir même beaucoup plus.

L'outil américain est tellement performant qu'en quelques D0rks (des requêtes de recherche) il est capable d'extraire de la toile des données qui n'auraient jamais du s'y trouver. Voici quelques exemples que nous avons pu révéler depuis la mi septembre. Quelques exemples qui montrent qu'à notre petit niveau, la masse de données est impressionnante. Nous vous laissons imaginer le fait qu'il existe aujourd'hui sur la toile, des groupes totalement spécialisés dans ce type de chasse. Mission, trouver, décortiquer et revendre.

Nous avons rencontré HB, un intrnaute Suisse qui s'est spécialisé dans la chasse aux bases de données. Ce que nous avons vécu avec lui est assez édifiant.

Trouvez-vous beaucoup de bases de données ?
Il n'y a pas de résultat fixe. Cela dépend des d0rks utilisés. Je dirais entre 50 et 100 par semaines, à raison de 3 heures de recherche par jour.

Les contenus ?
Toujours variés, c'est ce qui me plait. Cela peut être des informations ultra-sécurisées (banques, résultats d'examen) à tous ce qu'il y a de plus banal (liste de matériel, historique des Mises à jour, ...)

Quel est le contenu le plus fou que vous ayez trouvé ?
Question difficile. On trouve vraiment des choses folles sur Internet. Mes dernières découvertes, un accès à une banque brésilienne.

Simple de trouver des bases de données sur la toile ?
Trouver des bases de donnée au hasard est, hélas, relativement facile. Une simple recherche Google contenant "sql", "admin", "backup" permet de trouver à la pelle des informations diverses. Pour ce qui est des "grosses" bases de données (Armées, Gouvernements, ...) elles n'apparaitront pas avec des recherches aussi simple. Il faut additionner les d0rks. Le plus important, savoir anticiper le facteur humain en se mettant à la place de l'administrateur lambda, celui qui ira créer un fichier "memo_password.doc"  contenant tous ses mots de passe. Et ne pensez pas que cela n'arrive jamais, bien au contraire.

Comment est ce possible ?
Parfois je me le demande aussi. Des administrateurs négligents. Certains sont vraiment peu attentifs à la sécurité. Beaucoup se disent aussi "pourquoi on s'intéresserait à ces quelques Mo d'adresses emails ?". Le pire est que parfois, ils refusent de voir ceci comme une faille de sécurité, ou n'admettent pas d'avoir fait l'erreur.

On se rend compte que la faille n'est pas si informatique que ça. L'humain est vraiment le gros problème ?
Je pense que l'on aura beau avoir tous les programmes en sécurité informatique possible et imaginable, le facteur humain sera toujours présent tant que l'on n'aura pas éduquer les gens, leur apprendre les risques et comment y faire face (Avoir différents mots de passes; Ne jamais les sauvegarder sur quoi que ce soit; vérifier les droits - copies, lectures, ... - des fichiers importants, ...)

Ce genre de données peuvent se revendre ?
On trouve sur le net de nombreux lieux d'échanges et de ventes de données, des serveurs. Il y est facile de gagner de l'argent. Les spammeurs sont nombreux, surtout dans les pays "émergents". Ils sont prêts à tous pour de l'argent. Certains se payent des études en informatique, du matériel, ou tous simplement vivre. (lire notre ITW à ce sujet, NDR)

Déjà tenté par ce type de business ?
Je me suis déjà renseigné auprès de spammeurs français, pour savoir à combien il me pouvait me proposer pour quelques centaines de milliers d'emails. On m'a proposé, à l'époque 100 €. Ce n'est pas trop dans mon éthique ... et moi aussi je reçois du spam pour les médocs et autres faux produits de luxe.

Près de 40 millions d'Américains victimes de pertes d´informations

Plus de 35 millions d´Américains victimes de la perte de leurs informations privées. 656 pertes de fichiers recensées en 2008.

Wikipedia pour adultes

Des internautes brésiliens viennent de mettre en ligne wikigata, une encyclopedie pour adultes.

La DGA lance le nouvel intranet des forces aéronavales

La Délégation générale pour l´armement lance un programme de 240 millions destiné à renforcer le réseau intranet équipant les bâtiments de surface, les sous-marins et les aéronefs de la marine nationale.

Prison ferme pour des pirates de distributeurs de billets

Quatre Roumains viennent d´être condamnés à Rennes à de la prison ferme pour avoir pirater des cartes bancaires via des distributeurs de billets.

Warez + TGI = juste de la malchance

Le TGI de Bonneville n'a pas été piraté. Juste un - problème - d'adressage IP.

6 mois de prison ferme pour avoir piraté Numericable

Un internaute français de 22 ans écope de 6 mois de prison ferme pour avoir piraté le Fournisseur d´Accès à Internet Numericable.

Chasseur de Shell et injection SQL automatisés

20.000 sites piégés par une porte cachée ou une injection SQL. La nouvelle découverte, en 20 minutes chronos, faite par ZATAZ.COM via un logiciel dédié à la chasse aux backdoors.

Université des Correspondants Informatique et Libertés

L´Association Française des Correspondants Informatique et Libertés organise le 21 janvier prochain sa 3ème Université des Correspondants Informatique et Libertés.

La DGA lance le nouvel intranet des forces aéronavales

La Délégation générale pour l´armement lance un programme de 240 millions destiné à renforcer le réseau intranet équipant les bâtiments de surface, les sous-marins et les aéronefs de la marine nationale.

Warez + TGI = juste de la malchance

Le TGI de Bonneville n'a pas été piraté. Juste un - problème - d'adressage IP.

Chasseur de Shell et injection SQL automatisés

20.000 sites piégés par une porte cachée ou une injection SQL. La nouvelle découverte, en 20 minutes chronos, faite par ZATAZ.COM via un logiciel dédié à la chasse aux backdoors.

Université des Correspondants Informatique et Libertés

L´Association Française des Correspondants Informatique et Libertés organise le 21 janvier prochain sa 3ème Université des Correspondants Informatique et Libertés.

Fuite de données via Google Bloc-notes

Un commercial de la société Vonage enregistré ses notes et données sensibles sur son espace privé Google Bloc-notes.

Mort de Castlecops

Castlecops, association qui travaillait sur la cybercriminalité, vient d´annonce la cessation de ses activités.

Joomla! powa !

Révélation d´informations système sensibles par le biais de Joomla!

Compromission de système par le biais de xterm.

Exécution de commande arbitraire à distance par le biais du terminal xterm.

Réagissez à ce contenu