Publié le 22-07-2009 à 07:00:19 dans le thème Réseau - Sécurité

Pays : International - Auteur : La rédaction

Pub : Tous les logiciels antiphishing gratuits disponibles sur Internet

Exclusif : Le buzz de la semaine dernière autour des fuites d´informations d´employés de Twitter n´a pas étonné l´entreprise américaine. ZATAZ les avait informé début juin.

Mai 2009. Un jeune Internaute nous contacte par MSN. Il a des révélations à nous faire. Il signe sur MSN via un prénom. Sur le web, il avoue marquer sa trace sous le pseudonyme de Hacker Croll. Cet internaute avait posté sur notre forum, en mai, son passage dans un des espaces d'administration de Twitter [Lire]. Un tour de passe-passe réussi après l'interception d'informations de connexion. Lire son Interview exclusive. Rapidement, il va nous annoncer avoir réussi beaucoup plus « gros » sur Twitter. « Ça va faire mal, nous indiquait-il alors, car j'ai pas mal de trucs à diffuser sur la société, des documents confidentiels, ... » Intrigué, nous lui demandons quelques preuves. Il va nous fournir plusieurs centaines de documents (Ceux diffusés la semaine dernière par plusieurs blogs Français et Américains.)

Rapidement, nous lui proposons d'avertir Twitter. Parmi les données qu'il a réussi à trouver et voler, des données sensibles d'Evan Williams (co-fondateur de Twitter) ; Kevin Thau ; Margaret Utgoff, Anamitra Barneji; Andrea Ramirez; Biz Stone (l'autre co-fondateur); Britt Selvitelle; Caroline Mizumoto; Crystal Taylor; Doug Bowman; Doug Williams; Evan Weaver; Jason Goldman; Jay Edwards; Jeremy LaTrasse; Krissy Bush; Ryan King; Vitor Lourenço et l'épouse de Williams, Sarah Morishige. Plus étonnant encore, des informations sur des comptes Apple Store, Gmail, Amazon, Facebook, MobileMe, Paypal, des détails de communications téléphoniques, ... Tout ça en pillant allègrement dans les comptes mails préalablement piratés des fondateurs de Twitter, leur employés, ... Bref, Kévin Mitnick, roi du Social Engineering avait déjà engendré des enfants. Avec cette affaire, the Condor vient de croiser le meilleur des disciples.

Le 17 juin, il est 12h42. Avec l'autorisation de Hacker Croll, la rédaction de ZATAZ.COM rentre en contacte avec Twitter et Evan Williams,son co-fondateur. Notre but, avertir la société de la fuite et permettre à l'internaute de s'expliquer. Notre courriel trouvera une réponse à 23h32. Décalage horaire oblige, Evan Williams, nous invite à le rejoindre sur MSN. Durant plusieurs heures, nous allons expliquer à Evan Williams comment le français avait réussi, avec un peu de finesse et de social engineering, à mettre la main sur les données.

La prise de contacte effectuée. L'ensemble des mots de passe, accès, ... ont été corrigés. Hacker Croll avait annoncé qu'il ne diffuserait pas les informations maintenant que son action d'alerte avait été entendue. Nous nous sommes permis, cependant, de demander à Evan Williams si une compensation pouvait être réfléchie à l'attention du jeune surfeur. Evan Williams n'y voyait pas d'inconvénient et avait promis d'y réfléchir. "Heureusement que t'étais là, confiait l'internaute à ZATAZ.COM, Sinon j'aurai tout diffusé n'importe comment comme je l'avais fait pour l'admin Twitter". Seulement, les jours ont passé. Evan s'en est allé et Hacker Croll a préféré diffuser les documents.

Nous n'avions pas prévu de parler de cette histoire. D'abord parce que nous espérions que Twitter aurait fait un geste à l'encontre de cet internaute. Ensuite, nous avons vécu plusieurs centaines de cas identiques. Notre but étant, dans ce type de chose, d'aider à corriger, que notre source ne soit pas inquiétée et qu'elle puisse être remerciée. Ethniquement parlant, il est aussi difficile de diffuser des documents volés. La législation française est assez regardante sur ce quelle nomme « Recel d'objets volets ». Dans ce cas, des données bancaires, des courriels, des mots de passe, ...

Ce que peut en dire la loi Française

Les blogueurs qui ont diffusé des documents risquent, aujourd'hui, de se retrouver avec la justice à leurs portes. Si la dame de loi décide de réclamer des informations (IP, mels, ...) auprès des blogueurs, une simple réquisition suffira. La réquisition peut demander tout commentaire concernant une affaire ; tout lien ; les dates et créneaux horaires précis (heure/minute/seconde) (préciser le fuseau horaire) et l'adresse I.P. ; Dans le cas de forums, posts, ... l’identité, l’adresse, le numéro de téléphone de l’abonné ou toute autre information concernant sa localisation (en particulier le numéro de téléphone appelant en cas de connexion par une ligne téléphonique, ou le numéro de modem ou adresse Mac de la carte réseau en cas de connexion par le câble ou l’ADSL). Le type de service et d’équipement de communication utilisé par l'abonné et leurs caractéristiques techniques. Les adresses Mail de l’abonné, les identifiants et les mots de passe utilisés.

Malheur à ceux qui décideront de faire la forte tête. La non réponse peut entrainer de sérieux problèmes, comme la réception d'une convocation devant des officiers de Police Judiciaire. Dites vous que le "Aux fins d'être entendu dans le cadre d'une affaire vous concernant" du courrier ne présage rien de bon. L'Article 78 du Code de Procédure Pénale indique même que "Les personnes convoquées par un Officier de Police Judiciaire pour les nécessités de l'enquête sont tenues de comparaître. Si elles ne satisfont pas à cette obligation, avis en est donné au Procureur de la République qui peut les y contraindre par la force publique." comprenez, une descente à votre domicile par les amis du petit déjeuner. "Les personnes à l'encontre desquelles n'existent pas d'indices faisant présumer qu'elles ont commis ou tenté de commettre une infraction, ne peuvent être retenues que le temps strictement nécessaire à leur audition." Et autant dire que la plus simple des auditions peut durer plusieurs heures.

"And that's the way it is" - Walter Cronkite (1916/2009)

Tweet

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Faille sur le site Wikileaks

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

La Ville de Chambéry corrige une fuite de données

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Prudence aux liens vers Darty et ELLE

Des vulnérabilités ont été découvertes sur les sites RueDuCommerce, Darty et du journal ELLE. Prudence aux liens exterieurs.

Quand des Anonymous tapent sur des Anonymous, ça mousse

INFO ZATAZ - Des Anonymous reprochent à d´autres Anonymous d'avoir piraté des sites appartenant à la mouvance d'extrême droite. Pour les punir, leurs identités sont diffusées sur la toile.

Les informations confidentielles de 541 policiers Français diffusées par les Anonymous

Les Anonymous diffusent sur Internet l´identités et des informations confidentielles de plusieurs centaines de policiers Français.

Faille pour Myspace

Info ZATAZ - Une vulnérabilité de type Cross-Site Scripting vise le portail communautaire MySpace.

Multiples failles pour le site économique Forbes

INFO ZATAZ - Plusieurs vulnérabilités touchent le site économique américain Forbes. Les lecteurs peuvent être touchés directement.

La ville de Béthune corrige une fuite de données

INFO ZATAZ - Une méga fuite de données permettait d´accéder à une imposante base de données appartenant à la Mairie de Béthune.