Actualité

 

La justice Française condamne ZATAZ.COM à se taire

Publié le 30-01-2009 à 00:08:54 dans le thème Lois - Justice

Pays : France - Auteur : Damien Bancal


Pub : Tous les antivirus en ligne pour désinfecter votre ordinateur


Note des lecteurs: 4.3/5

Pour avoir aidé une société à protéger ses données sensibles, le fondateur de ZATAZ.COM se retrouve devant la justice.

Nous ne donnerons pas le nom de l'entreprise qui nous a assigné devant le TGI de Paris, la justice Française vient de nous interdire de publier son nom et de remettre en ligne l'article qui concerne notre différent...

...Mais nous vous devons la transparence, d'autant plus que vous avez été plusieurs lecteurs à vous rendre compte de la disparition de cet article sur ZATAZ.COM.

Il était une fois... 

Tout a débuté fin septembre 2008. Un lecteur [son anonymat est resté et restera de mise... même sous la menace, NDR] nous informait d'une découverte qu'il trouvait très étonnante.

Via un moteur de recherche, du même type que Google, le lecteur s'était aperçu qu'une société avait été référencée par le spider, le robot référenceur du moteur en question.

Seulement, à défaut de pages web référencées, le moteur de recherche a aspiré le répertoire, le Directroy, l'arborescence d'un espace FTP en accès libre. Celui de la société en question.

Informé de la chose, ZATAZ.COM met en place sa procédure d'alerte.

D'abord, je vais vérifier les propos de notre lecteur, comme je le fais depuis 13 ans. Je me rends sur ce moteur de recherche, je tape les mots clés que le lecteur m'avait indiqué, ainsi que quelques autres mots clés, afin de constater cet étrange référencement.

Il ne me faudra pas plus de 30 secondes pour comprendre le problème et la dangerosité des données proposées par le moteur de recherche. L'arborescence en question donnait accès à des informations sensibles.

Les répertoires de cette entreprise avaient été aspirés. Il suffisait ensuite de cliquer sur les liens proposés par le moteur de recherche pour se retrouver dans des comptes bancaires, des documents administratifs, marketing, appartenant à cette société.

Je n'ai strictement rien téléchargé, sauvegardé. Seul téléchargement, la cache de mon navigateur lors du clic de souris sur le lien donné par le moteur de recherche.

Je vais réaliser deux uniques captures écrans et prévenir, par deux fois d'abord, la société.

Une quarantaine d'heures plus tard, toujours aucune réponse à mes deux courriels. Je décide, cette fois, de continuer la procédure d'alerte par un appel téléphonique. Je réussi à joindre une responsable commerciale de l'entreprise. S'en suit une explication de ma constatation.

Elle va me transmettre deux courriels. Le sien et celui de l'informaticien de l'entreprise. Puis, plus rien !

Une semaine passe, je vais recevoir un courrier de remerciement de l'employée contactée par téléphone:  "Merci de nous avoir signalé cette sérieuse anomalie, cela a permis à notre informaticien de corriger immédiatement."

Bref, tout est bien qui finit bien. Le problème est corrigé, je décide d'en écrire un petit article. Ce dernier se contentait de relater les faits, l'aide (comme nous avons pu le faire auprès de 7.000 entreprises, PME, sites étatiques, associations, ...) et un petit rappel de la Loi Informatique et Liberté (CNIL 1978).

Dans l'article, aucunes informations techniques, aucunes informations sur l'adresse du serveur, ni le nom du moteur de recherche, les mots clés, ... alors que nous aurions pu le faire. L'accès avait été corrigé et cela aurait pu prouver nos dires. J'ai préféré vous proposer deux captures écrans (Les données sensibles avaient été cachées dans ces photographies).

24 décembre, 10 heures du matin

Deux mois plus tard, nous sommes le 24 décembre, il est 10h. Le ciel est bleu, le Père-Noël était attendu sous le sapin familial... et, joie de la nativité, un huissier toc à la porte de mon domicile.

Il vient m'annoncer que la société avait fait appel à la justice "en urgence" pour faire retirer l'article. Soit, deux mois après la diffusion de ce dernier. Une assignation en référé d'heure à heure devant le Président du Tribunal de Grande Instance de Paris. Bien évidement, je retire illico l'article. Je suis invité à m'expliquer le 12, puis le 19 janvier devant Monsieur le Juge.

Pour cela, il me faut prendre un avocat (6.000 euros); payer les constations d'huissier (155 € ; 3 x 175 €); me déplacer (Prendre des jours de congés, essence, péage, ...). A partir de là, je peux avoir accès au dossier du cabinet d'avocat de cette entreprise.

Pour faire disparaître l'article de ZATAZ.COM, l'argument mis en avant par la société est limpide comme de l'eau de roche. Il m'est reproché tout simplement d'avoir piraté le ftp de l'entreprise pour écrire l'article ! Bilan, en plus de demander la destruction de l'article via le TGI, cette société m'assigne aussi devant le Tribunal Correctionnel pour diffamation, en fevrier prochain.

 

Son nom est Pert, Expert

Le cabinet d'avocats de cette société se base sur un rapport d'expertise particulièrement étonnant. Comme déjà expliqué, j'ai eu la preuve de l'existence de ces données en utilisant un moteur de recherche et mon navigateur web. [A noter que ous sommes le 28 janvier, le moteur de recherche en question recense TOUJOURS l'ensemble des dossiers, répertoires et fichiers sensibles de cette société].

L'expert explique, par exemple, que cet accès était la résultante obligatoire d'un piratage.

Il explique dans son rapport l'apparition d'un étrange login "Anonymous" dans les logs de l'entreprise.

Les logs du serveur de cette entreprise indiquaient ceci :

29/09/2008 - IP - User Anonymous 331 - Pass [email protected] 530

ou encore

02/10/2008 - IP - User Anonymous 331 PASS IEUser@ 530

ou encore

02/10/2008 - IP - User Anonymous 331 Pass [email protected] 530

Pour l'expert de cette société, aucun doute, se sont de mystérieux codes pirates.

Pour avoir une explication de l'existence de ces « mystérieux codes », il aurait suffit de lire un article diffusé par l'université de Marseille traitant de ce Monsieur Anonymous « ANONYMOUS : pour permettre les accès publics sous le compte anonymous sans avoir a donner de mot de passe secret. (dans ce cas, seule l'adresse de messagerie suffit comme mot de passe). »

Dans les trois cas des logs de l'entreprise, le code USER et PASS sont générés automatiquement par les navigateur Firefox ([email protected]) et Internet Explorer (IEUser@; [email protected]) lors d'une connexion autorisée !

Plus intéressant, dans les logs fournis par cette société, nous avons découvert que le moteur de recherche était passé par deux fois sur le serveur de cette entreprise. Le 11 septembre, puis le 28 septembre, pour rafraichir son contenu, sa base de données. Les log affichaient l'ip et le nom du robot référenceur... avec un joli "Anonymous" d'accès. Détail qu'il est toujours possible de vérifier ce 28 janvier.

Pour rappel, j'ai eu l'information du lecteur le 29 septembre. Bizarrement les logs entre le 11 et 28 septembre ne donnaient plus aucunes informations, pas un ip, connexions, ... mais à partir du 29 septembre, date de ma constatation et de mon alerte, un véritable arbre de Noël d'IP dans des logs en question.

A noter que le moteur de recherche affiche toujours, ce jour, les répertoires de cette société. Ils ne sont plus accessibles d'un simple clic depuis  mon  intervention, mais le moteur de recherche a toujours dans sa mémoire ce qu'il a vu, lu et répertorié.

 

Condamné

Fin janvier, le juge a rendu son verdict. Il a constaté que l'article avait été retiré de ZATAZ.COM (Constatation pas bien difficile à faire, j'ai payé un huissier pour le faire constater).

J'ai d'ailleurs précisé que je ne souhaitais pas remettre en ligne cet article dans la mesure ou le moteur de recherche continuait à référencer les données sensibles, que dans les logs j'ai découvert qu'au moins un pirate Turc avait tenté de pénétrer le serveur, 48 heures après sa correction.

Le juge a donc ordonné la suppression de toutes données ou fichier auxquels j'ai pu accéder sur le serveur  en question et m'interdit de publier ou diffuser tous contenus s'y rapportant sous peine de payer 400 euros par jour. Comme vous le savez, nous n'avons JAMAIS rien téléchargé et ne diffusons JAMAIS rien qui puisse mettre en danger qui que se soit. Et bien évidement, pas question de remettre cet article.

Ce qui est "rassurant", dans cette ordonnance, est le fait que le verdict de Monsieur le Juge semble indiquer que les données étaient bien accessibles ! Mais ce n'est pas le problème. Mission avoué de l'entreprise, faire disparaître l'article.

Je suis aussi condamné à rembourser les frais d'avocats en plus de ce que j'ai déjà déboursé pour me défendre !

C'est la première fois qu'une telle aventure me tombe sur le coin de la souris. Nous avons pu aider (Les lecteurs, amis et moi) plus de 7.000 entreprises. Dans certains cas j'ai relayé l'information pour en avertir les utilisateurs, rappeler ce qu'indique la loi. C'est aussi mon métier de journaliste que d'informer, donner les faits.

Bref, nous obeissons, comme nous l'avons toujours fait, à la loi et à la justice. L'article et les deux captures écrans ont été détruits. Certes, il aurait été si simple de diffuser cet article, ailleurs, sur d'autres sites, journaux, pour qui je travaille. Mais je ne suis pas comme ça.

Je n'en veux pas un seul instant au patron de cette entreprise. Il a protégé son travail, sa création en écoutant son personnel. Des employés qui lui ont dit qu'il y avait eu piratage. Espérons seulement que maintenant, il va faire le ménage en interne pour son bien et celui de ses clients.

Espérons aussi et surtout pour lui qu'aucun client n'aura eu le moindre prélèvement frauduleux entre le 11 et le 28 septembre, date ou le moteur de recherche a référencé les données laissées en accès libre.

Cette aventure n'est pas une mésaventure pour moi. Cela ne m'empêchera pas de continuer à faire mon métier de journaliste. Je le suis depuis bientôt 18 ans. Je continuerai à alerter, prévenir, aider, les lecteurs, comme je le fais gratuitement sur ZATAZ.COM depuis 1996. Je vais juste reprendre un propos d'un de mes professeurs qui me disait un jour qu'"Un journaliste doit tout savoir, mais ne pas tout dire!".

Cela ne m'empêchera pas, non plus, de relayer des informations de lecteurs, tout en garantissant l'anonymat de ces derniers. Au risque de me retrouver devant la Justice.

Si jamais vous souhaitez nous soutenir financièrement, il en dépend clairement de la survie de ZATAZ.COM, nous avons mis en place une possibilité via le service Paypal. [Le niveau des dons] 

ATTENTION, aucune demande de dons par courriel, forum, ... ne sera effectuée. Une petite précision nécessaire pour les trous "d'cul" de phishers qui seraient tentés de se faire passer pour ZATAZ.

 

Conseiller cet article Réagir RSS ZATAZ Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur del.icio.us

Derniers contenus

EDF : Avis de coupure de courant par email

01-02-2012 à 13:42 - 0 commentaire(s)

Depuis quelques jours, un faux courriel aux couleurs d'EDF inquiété les internautes Français.

Les emails de du président syrien Bachar el-Assad piratés

01-02-2012 à 13:30 - 0 commentaire(s)

Un hacker saoudien aurait réussi à pirater pour 4Go de données emails appartenant au président syrien Bachar el-Assad.

Les impôts vous doivent des sous

31-01-2012 à 19:34 - 0 commentaire(s)

INFO ZATAZ - Un courrier électronique aux couleurs du Ministère du budget, des comptes publics et de la fonction publique vous annonce un remboursement de 178 euros.

Des jeux en ligne pour enfants attendrissants mais infectés de virus

30-01-2012 à 21:59 - 0 commentaire(s)

Les jeux online pour enfants ne sont pas sans danger. Plus de 60 sites infectés au cours des 30 derniers jours.

Prison ferme et lourde amende pour des pirates de film

30-01-2012 à 21:48 - 0 commentaire(s)

4 mois ferme, plus de 77 000 euros d´amende. Sept pirates de film du nord de la France condamané par le Tribunal de Béthune.

Des déclarations numériques de TVA se perdent sur le web

30-01-2012 à 21:40 - 0 commentaire(s)

INFO ZATAZ - Une jeune entreprise Française en a marre de recevoir des déclarations de TVA qui ne lui sont pas adressées.

Mon papa est un pirate

30-01-2012 à 18:44 - 0 commentaire(s)

Le pére et son fils pirataient des données bancaires. Ils risquent aujourd´hui la prison à vie.

Ipad 3 à gagner sur Facebook

30-01-2012 à 17:08 - 0 commentaire(s)

Les rumeurs vont bon train sur la date de sortie de la nouvelle génération d'iPad et les spammers se préparent à escroquer les impatients.

Sur le même thème : Lois - Justice

Mon papa est un pirate

Le pére et son fils pirataient des données bancaires. Ils risquent aujourd´hui la prison à vie.

Iphone 4S reste legal en France

Le TGI de Paris refuse que soit interdit la commercialisation de l'Phone 4S sur le territoire Francais.

La loi et les blagues pédophiles sur Facebook

Un espace Facebook s´amuse et diffuse des blagues autours d´actes pédophiles.

Arnaque: récupération de points de permis de conduire perdus

Le tribunal de Créteil juge, ce vendredi après-midi, des escrocs ayant proposé de récupérer des points de permis perdus lors d´un contrôle autoroutier.

Mozilla rejoint la fronde contre la SOPA

La SOPA, nouvelle loi américaine en préparation. But avoué, contrer les pirates de film, musique. But inavoué, contrôler le web pour les dinosaures d´Hollywood qui n´ont pas évolué.

Un pirate ayant attaqué des serveurs de la NASA arrêté

Un pirate informatique ayant attaqué plusieurs serveurs de la NASA arrêté.

Action anti warez : 5 sites web fermés

Cinq sites Internet dédiés à la diffusion de films piratés fermés. Le webmasteur avait installé son business à Las Vegas.

UMP Dox : Enquête ouverte par le parquet de Paris

Le parquet de Paris a ouvert une enquête préliminaire à la suite du piratage de données professionnelles et personnelles de plusieurs centaines de députés UMP.

Vos réactions ( 29 )

2 3 

 Ecrit par u531355 le 28.01.2009 à 17h42 

#

ZATAZien


Inscrit le 28-01-2009

En lisant je n'ai pu m'empêcher de repenser à Serge Humpich... D'abord "Merci pour votre aide" puis "Toc, toc, toc, vous êtes accusé de piratage". Ecoeurant...

Une suggestion maintenant : pourquoi ne pas faire appel à la générosité des entreprises que vous avez aidé jusqu'à aujourd'hui ? Vous leur avez rendu service par le passé, voilà pour elles une bonne occasion de vous renvoyer l'ascenseur.

Bon courage en tout cas !

 Ecrit par ZATAZ le 28.01.2009 à 17h50 

#

ZATAZ Admin


Inscrit le 07-05-2005

Bonjour,

L'idée de faire appel aux sociétés aidées est une bonne idée, mais zataz n'a jamais rien demandé et ne le fera pas.

En esperant, que ces dernières liront votre proposition et agiront de la sorte.

En tout cas un ENORME merci aux personnes et donateurs qui m'envoient un courriel, me téléphone sur mon portable, ... pour me soutenir.

 Ecrit par Unpacker le 28.01.2009 à 17h50 

#

ZATAZien


Inscrit le 06-01-2008

Je compatie votre douleur...

Je dit simplement que de la part de l'entreprise, qui laissé le FTP ouvert au public, est tu une erreur de négligence, de la part de la société, surtout pour accusé ZATAZ Magasine, pour piratage, or que c'est google qui gardés les page(s) en cache.

Mais bon, c'est sur, s'attacker a ZATAZ a la place de google, c'est plus facile, diront que google on des bon(s) avocat(s) tongue.gif



Ma conclusion, c'est que je vois que ZATAZ à aidés, plus de 7.000 entreprise(s), pas un aurez donné un petit coup de main pour les avoir aidé, c'est pitoyable, sa donne envie de vomir, mise a part les gent qui l'ont fait, merci a eu...


Zataz tenez le coup...

Ps : Zataz dit se qui vous faut comment documentation sur le hackin, voit tool hack, des shell php, exploit, etc.. ? je c'est pas, mais je tente de donner un petit coup de main a ma fa sont, si je peut me le permettre, naturellement.

 Ecrit par ZATAZ le 28.01.2009 à 17h53 

#

ZATAZ Admin


Inscrit le 07-05-2005

Bonjour,
Merci pour votre soutien.
Le moteur de recherche n'est Google.

 Ecrit par grumly le 28.01.2009 à 17h55 

#

ZATAZien


Inscrit le 07-01-2008

Lancer une procédure judiciaire et aller au tribunal tout ça pour faire supprimer un article, faut vraiment avoir que ça à faire... Sans parler des logs douteux.
Et après c'est aux lecteurs de rééquilibrer la justice :/

 Ecrit par j.b7 le 28.01.2009 à 18h18 

#

ZATAZien


Inscrit le 28-01-2009

Bonjour,
A la vue du jugement pour le médecin qui a diffusé des photos d'une patiente, on pourrait s'attendre a un procès avec toutes les personnes qui ont eut des informations sur leur compte bancaire diffusé par cette entreprise...
Quoi qu'il en soit, bon courage Zataz smile.gif

 Ecrit par le 28.01.2009 à 18h23 

#




Inscrit le 04-02-2012

Salut,

Je pense plutôt que le site en question a porté plainte du fait de sa clientèle ,s'il y a, ou tout simplement de la qualité de son service qui laisse à désirer. Des personnes auraient pu être informée de cette fâcheuse erreur informatique, et ainsi ne plus faire confiance à ce site. smile.gif

 Ecrit par Unpacker le 28.01.2009 à 18h29 

#

ZATAZien


Inscrit le 06-01-2008

Est pourquoi zataz niais pas faire un tour cher 60 millions de consommateur, histoire de savoir si il peut les s'aide, qui tente pas a rien...

 Ecrit par Eagle1 le 28.01.2009 à 18h43 

#

ZATAZien


Inscrit le 26-07-2007

y a toujours des trous de cul qui te chie a la gueule c'est la dur réalité de cette société de merde

Je te souhaites bonne courage Damien
Bonne continuation dans tes projets

 Ecrit par u531355 le 28.01.2009 à 19h06 

#

ZATAZien


Inscrit le 28-01-2009

Malheureusement, j'ai bien peur que cette action en justice soit bien plus vicieuse qu'une simple volonté de retrait de l'article. Zataz condamné, un coupable a officiellement été désigné.

Imaginons que demain certaines des données soient exploitées frauduleusement par une tierce personne. La société n'a plus qu'à se décharger sur Zataz qui a déjà été reconnu coupable d'un accès non autorisé à ces données. Une sorte "d'assurance" en somme...

2 3 

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.

 



ZATAZ.COm, site recommandé par ORANGE.       ZATAZ.COM trois fois récompensé par Microsoft

Vigilants.fr veille informatique sur les réseaux.
VPN, connexion securisee, haut débit plus de 1000Ko/s, traffic illimité et sans filtrage de ports ni de protocoles, plusieurs adresses et pays différents - service disponible 24h/24h
Application iPhone et iPad ZATAZ, gratuite et sans publicité.
Application iPhone et iPad ZATAZ, gratuite et sans publicité.



Labs ZATAZ

CVE-2011-3230 Apple Safari file:// Arbitrary Code Execution Metasploit Demo

Timeline : Vulnérabilité découverte par Aaron Sigel Publication coordonnée de la vulnérabilité le 12-10-2011 PoC Metasploit fournit le 16-10-2011 PoC fournit par : Aaron Sigel sinn3r Référence(s) : CVE-2011-3230 HT5000 Version(s) affectée(s) : Safari 5.1 pour Mac OS X v10.6.8 Sa [...]

Modules Metasploit Auxiliaires MySQL

Metasploit fournit des modules auxiliaires pour la base de données MySQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes S [...]

Modules Metasploit Auxiliaires PostgreSQL

Metasploit fournit des modules auxiliaires pour la base de données PostgreSQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes SQL et li [...]

CVE-2011-0807 : Sun/Oracle GlassFish Server Authenticated Code Execution Metasploit Demo

Timeline : Vulnérabilité découverte par Jason Bowes et soumise à ZDI Notification initiale de ZDI vers le fournisseur le 23-09-20102 Publication coordonnée de la vulnérabilité le  19-04-2011 PoC Metasploit fournit le 04-08-2011 PoC fournit par : juan vazque [...]

Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA