Publié le 22-07-2009 à 07:00:19 dans le thème Réseau - Sécurité

Pays : International - Auteur : La rédaction

Pub : CA Anti-Spam 2007 - Bloquez les messages indésirables!

Exclusif : Le buzz de la semaine dernière autour des fuites d´informations d´employés de Twitter n´a pas étonné l´entreprise américaine. ZATAZ les avait informé début juin.

Mai 2009. Un jeune Internaute nous contacte par MSN. Il a des révélations à nous faire. Il signe sur MSN via un prénom. Sur le web, il avoue marquer sa trace sous le pseudonyme de Hacker Croll. Cet internaute avait posté sur notre forum, en mai, son passage dans un des espaces d'administration de Twitter [Lire]. Un tour de passe-passe réussi après l'interception d'informations de connexion. Lire son Interview exclusive. Rapidement, il va nous annoncer avoir réussi beaucoup plus « gros » sur Twitter. « Ça va faire mal, nous indiquait-il alors, car j'ai pas mal de trucs à diffuser sur la société, des documents confidentiels, ... » Intrigué, nous lui demandons quelques preuves. Il va nous fournir plusieurs centaines de documents (Ceux diffusés la semaine dernière par plusieurs blogs Français et Américains.)

Rapidement, nous lui proposons d'avertir Twitter. Parmi les données qu'il a réussi à trouver et voler, des données sensibles d'Evan Williams (co-fondateur de Twitter) ; Kevin Thau ; Margaret Utgoff, Anamitra Barneji; Andrea Ramirez; Biz Stone (l'autre co-fondateur); Britt Selvitelle; Caroline Mizumoto; Crystal Taylor; Doug Bowman; Doug Williams; Evan Weaver; Jason Goldman; Jay Edwards; Jeremy LaTrasse; Krissy Bush; Ryan King; Vitor Lourenço et l'épouse de Williams, Sarah Morishige. Plus étonnant encore, des informations sur des comptes Apple Store, Gmail, Amazon, Facebook, MobileMe, Paypal, des détails de communications téléphoniques, ... Tout ça en pillant allègrement dans les comptes mails préalablement piratés des fondateurs de Twitter, leur employés, ... Bref, Kévin Mitnick, roi du Social Engineering avait déjà engendré des enfants. Avec cette affaire, the Condor vient de croiser le meilleur des disciples.

Le 17 juin, il est 12h42. Avec l'autorisation de Hacker Croll, la rédaction de ZATAZ.COM rentre en contacte avec Twitter et Evan Williams,son co-fondateur. Notre but, avertir la société de la fuite et permettre à l'internaute de s'expliquer. Notre courriel trouvera une réponse à 23h32. Décalage horaire oblige, Evan Williams, nous invite à le rejoindre sur MSN. Durant plusieurs heures, nous allons expliquer à Evan Williams comment le français avait réussi, avec un peu de finesse et de social engineering, à mettre la main sur les données.

La prise de contacte effectuée. L'ensemble des mots de passe, accès, ... ont été corrigés. Hacker Croll avait annoncé qu'il ne diffuserait pas les informations maintenant que son action d'alerte avait été entendue. Nous nous sommes permis, cependant, de demander à Evan Williams si une compensation pouvait être réfléchie à l'attention du jeune surfeur. Evan Williams n'y voyait pas d'inconvénient et avait promis d'y réfléchir. "Heureusement que t'étais là, confiait l'internaute à ZATAZ.COM, Sinon j'aurai tout diffusé n'importe comment comme je l'avais fait pour l'admin Twitter". Seulement, les jours ont passé. Evan s'en est allé et Hacker Croll a préféré diffuser les documents.

Nous n'avions pas prévu de parler de cette histoire. D'abord parce que nous espérions que Twitter aurait fait un geste à l'encontre de cet internaute. Ensuite, nous avons vécu plusieurs centaines de cas identiques. Notre but étant, dans ce type de chose, d'aider à corriger, que notre source ne soit pas inquiétée et qu'elle puisse être remerciée. Ethniquement parlant, il est aussi difficile de diffuser des documents volés. La législation française est assez regardante sur ce quelle nomme « Recel d'objets volets ». Dans ce cas, des données bancaires, des courriels, des mots de passe, ...

Ce que peut en dire la loi Française

Les blogueurs qui ont diffusé des documents risquent, aujourd'hui, de se retrouver avec la justice à leurs portes. Si la dame de loi décide de réclamer des informations (IP, mels, ...) auprès des blogueurs, une simple réquisition suffira. La réquisition peut demander tout commentaire concernant une affaire ; tout lien ; les dates et créneaux horaires précis (heure/minute/seconde) (préciser le fuseau horaire) et l'adresse I.P. ; Dans le cas de forums, posts, ... l’identité, l’adresse, le numéro de téléphone de l’abonné ou toute autre information concernant sa localisation (en particulier le numéro de téléphone appelant en cas de connexion par une ligne téléphonique, ou le numéro de modem ou adresse Mac de la carte réseau en cas de connexion par le câble ou l’ADSL). Le type de service et d’équipement de communication utilisé par l'abonné et leurs caractéristiques techniques. Les adresses Mail de l’abonné, les identifiants et les mots de passe utilisés.

Malheur à ceux qui décideront de faire la forte tête. La non réponse peut entrainer de sérieux problèmes, comme la réception d'une convocation devant des officiers de Police Judiciaire. Dites vous que le "Aux fins d'être entendu dans le cadre d'une affaire vous concernant" du courrier ne présage rien de bon. L'Article 78 du Code de Procédure Pénale indique même que "Les personnes convoquées par un Officier de Police Judiciaire pour les nécessités de l'enquête sont tenues de comparaître. Si elles ne satisfont pas à cette obligation, avis en est donné au Procureur de la République qui peut les y contraindre par la force publique." comprenez, une descente à votre domicile par les amis du petit déjeuner. "Les personnes à l'encontre desquelles n'existent pas d'indices faisant présumer qu'elles ont commis ou tenté de commettre une infraction, ne peuvent être retenues que le temps strictement nécessaire à leur audition." Et autant dire que la plus simple des auditions peut durer plusieurs heures.

"And that's the way it is" - Walter Cronkite (1916/2009)

Phishing à l´encontre de la Caisse d´Allocations Familiales

30-01-2010 à 18:08 - 3 commentaire(s)

Exclusif : Prudence, depuis samedi après-midi, un pirate tente de mettre la main sur les identifiants de connexion à la Caisse d´Allocations Familiales.

Cocoonez high–tech

30-01-2010 à 14:30 - 0 commentaire(s)

Oreillerbaladeur et couverture USB pour rester au chaud tout en étant branché ! A découvrir aussi le 1e réseau en 3D dédié à l´art.

Censure du Net: rassurants amendements en commission

28-01-2010 à 11:54 - 0 commentaire(s)

La Quadrature du Net se rassure de l´adoption à l´unanimité en Commission des Lois d´amendements à la loi LOPPSI déposés par le député Tardy.

Les casseroles made in HADOPI

28-01-2010 à 09:02 - 0 commentaire(s)

Chose promise chose due : mobilisation de l'armée numérique pour le lancement de l'opération Casseroles Day (C-DAY).

Nouveau phishing à l´encontre des clients de la Caisse d´Épargne

28-01-2010 à 08:21 - 0 commentaire(s)

Voilà un pirate qui a de la suite dans les idées. Septième attaques à l´encontre des clients de la Caisse d´Épargne.

L´exploit pour hacker la PS3 diffusé sur Internet

27-01-2010 à 15:37 - 0 commentaire(s)

GeoHot, l´auteur du premier véritable crack de la Playstation 3 de Sony diffuse le code qui permet cet exploit technique.

Jouer gratuitement au poker

26-01-2010 à 16:09 - 0 commentaire(s)

Pour rester informé en permanence des dernières offres de poker en ligne, Pokerlistings est le guide le plus actualisé du web.

Do you speak spammeur ?

26-01-2010 à 15:44 - 0 commentaire(s)

Les spammeurs ciblent désormais leurs destinataires en fonction de leur langue et de leur pays d´origine.

Moi y a vendre bonne arnaque

Prudence, des annonces eBay vous proposent d´acquérir des ordinateurs portables pour 52 euros... Arnaque comprise!

Chercheurs d’emplois – gare aux offres frauduleuses!

Quand les pirates informatiques créent de fausses offres d’emploi : vigilance!

Les joueurs de NCSoft ciblés par un phishing

Pendant que Google râle sur de pseudos pirates Chinois qui ne semblent être que des employés malintentionnés, l´éditeur de jeux en réseau AION, City of heroes, Lineage, ... s´attaque aux vilains fermiers numériques made in china.

Faille vieille de 17 ans révélée dans Windows

Microsoft confirme la présence d´une faille dans Windows vieille de 17 ans.

Escroquerie téléphonique via Facebook

Exclusif : Un groupe Facebook cache une escroquerie qui promet de téléphoner gratuitement. Prudence, une fausse page de connexion au portail communautaire y est proposée.

Perte de poids, gare aux fausses pubs

Exclusif : J´ai perdu 16 Kg en moins de 2 mois avec deux produits gratuits. Une publicité trouble exploite des sites, Tv connus ainsi que le logo du Ministère de la santé et des sports.

Boulette à la Mairie de Roanne... et de Baisieux

Exclusif : Pour les vœux 2010, la mairie de Roanne s´invite sur le web. Mauvaise idée, le courrier contenait plusieurs centaines de données privées. A Baisieux, c'est le site web qui bave !

Solde sur le web

Exclusif : Prudence, un lien appartenant à la boutique en ligne GrosBill pourrait être exploité par un pirate informatique ou autre hameçonneur.