Publié le 19-06-2011 à 09:16:08 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal

Pub : Logiciels de sécurité et de protection Internet

Après SONY, Nintendo, c´est au tour de la firme japonaise Sega de subir le vol d´une partie de sa base de données. Explication de la méthode pirate employée.

Après Sony, Nintendo et plusieurs éditeurs de jeux vidéo, c'est au tour de Sega de subir la visite d'un pirate informatique. C'est le groupe japonais de jeux vidéo qui a indiqué que les données personnelles d'1,29 million de clients, à son système commercial SEGA Pass, avaient été dérobées. C'est la filiale européenne du papa de Sonic qui a été visée. Comme pour Sony, tout semble être parti d'un serveur basé en Angleterre. Comme la expliqué ZATAZ.COM ce dimanche matin sur RTL, "Les pirates ont dérobé les noms, dates de naissance et mots de passe cryptés des clients, a souligné Sega, Nous présentons nos excuses pour les désagréments causés à nos clients par cet incident". Le service a été suspendu le temps des corrections et, d'une éventuelle remontée des traces pirates.

Comment ?
Comme nous l'indiquions en Août dernier dans le mensuel Capital, ainsi que dans notre rapport sur notre protocole d'alerte ZATAZ 2010, les failles SQL (Injection SQL, iSQL) sont devenues les plaies du web. Les actualités de ce printemps ne nous ont jamais autant donné raison. Des attaques très simples à mettre en place. Il suffit de connaitre 2/3 dorks (mots clés) Google, de posséder un logiciel iranien distribué gratuitement voilà 2 ans et le clic est joué.

Comme le montre notre reportage vidéo, il suffit de rentrer l'url de la cible et d'attendre que l'outil pirate égraine, une par une les possibilité. Malheur aux serveurs faillibles. Le logiciel sort, une par une, les informations convoitées. Nom de la base de données, tables et, les informations. Toutes les informations inscrites sont à portée de main pirate. Les attaques peuvent durer 3 secondes, comme plusieurs jours. "Tout dépend de la taille de la base de données, fanfaronne un pirate rencontré par ZATAZ.COM, Moi, j'ai des serveurs sur le web qui me servent à copier les bases. Ainsi je ne laisse pas de trace. Je ne bouffe pas ma bande passante et je n'ai plus qu'à récupérer, ensuite." Pour ce pirate, des machines qu'il a préalablement piraté. "Beaucoup en Chine, s'amuse-t-il, Je fais de manière à en devenir l'administrateur, et à distance, j’agis comme si j'étais dans mon Windows, à la maison. Je lance les logiciels que j'ai installé dans ces machines piratées et le tour est joué." Dans notre vidéo, ci-dessous, démonstration d'un de ces outils.

Avec le protocole d'alerte ZATAZ, nous recevons, chaque semaine, une 20e d'importantes iSQL par des internautes souhaitant aider. Cette semaine, par exemple, dans la masse des HaideDs ZATAZ traités, une quinzaine d'importants clubs de football Français appartenant à la Ligue 1 et 2. Comme nous l'avions expliqué sur notre Twitter (@ZATAZdotCOM) et notre groupe ZATAZ Facebook, certaines boutiques de ces clubs fournissaient l'intégralité des données clients. 

Bref, les fuites de données, sur le web se comptent par centaines de millions. Rien que pour ZATAZ.COM, via notre protocole d'alerte, nous en sommes à plus de 600 millions de données au 19 juin 2011. Des données sensibles d'internautes (émail, mots de passe, bancaires) découvertes rien qu'avec des sources ouvertes (moteurs de recherche, dossiers ouvertes sur le web, ...) alors imaginez si à cela il fallait rajouter les iSQL.

Fuite, lois et logiciels pirates
En France (comme en Belgique), être en possession d'un logiciel pouvant permettre le piratage informatique constitue une infraction aux yeux du législateur. C'est la raison pour laquelle sa possession est interdite. En Belgique, le 14 juin dernier, un informaticien écopait de prison avec sursis pour avoir possédé et utilisé un hacking tools. En France, même risque de sanction, entrecoupé d'une forte amende pouvant atteindre plusieurs dizaines de milliers d'Euros. En ce qui concerne la fuite de donnée, nombre de pays dans le monde ont fait le choix de la transparence et de faire en sorte que les entreprises déclarent leurs pertes de données. Ce concept de « Data Breach Notification » venu des États-Unis et dont se sont inspirés à divers degrés le Royaume-Uni, l’Allemagne, mais aussi l’Autriche, la Lituanie, l’Estonie et la République Tchèque, intéresse autant qu’il inquiète. En France, pour le moment, le projet de loi publié le 23 mars 2010 à l’instigation d’Anne-Marie Escoffier et de Yves Détraigne, a ouvert la porte à une éventuelle obligation légale de notification à la Cnil des failles de sécurité (cf. l'article 7, visant à renforcer l'article 34 de la loi informatique et libertés). Si elle venait à se confirmer, cette éventuelle obligation que nous avons baptisé "Amendement ZATAZ" transposerait par anticipation la directive européenne 2002/58/CE concernant la vie privée dans le secteur des communications électroniques.

Sur le papier, ce genre de fuite peut coûter cher au fautif. La loi informatique et liberté (CNIL) punit ce type de fuite d'information nominative de sanctions pouvant atteindre 5 ans d'emprisonnement et 300 000 € d'amende (art. 226-17 du code pénal). La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d'emprisonnement et de 100 000 € d’amende. (art. 226-22 du code pénal) Mais en réalité, rien n'est fait. Les entreprises corrigent, n'informent pas leurs clients et, pour certaines de ces entreprises fautives (très rare heureusement, NDR), menacent de représailles judiciaires toutes personnes (journaliste ou non) qui auraient l'outrecuidance d'en parler.

Tweet

Un Anonymous Français déclare la guerre aux hébergeurs

25-05-2012 à 13:05 - 1 commentaire(s)

Info zataz - Des dizaines d'hébergeurs sous le contrôle d'un Anonymous Français. Il déclare la guerre aux serveurs privés Dofus.

Votre compte Facebook a-t-il été infiltré ?

24-05-2012 à 12:09 - 0 commentaire(s)

Info zataz - Une vague de faux messages vise des milliers de comptes Français Facebook. Prudence aux photos sexy diffusées.

Fuite de données pour iPhone

22-05-2012 à 00:43 - 0 commentaire(s)

Info zataz - Un iPhone jailbreaké couplé avec Tweak Bulletin permet de passer outre le mot de passe d´ouverture du téléphone.

Téléphone portable ZTE piégé

22-05-2012 à 00:38 - 0 commentaire(s)

Le fabricant chinois de téléphone portable ZTE a confirmé la présence d'une porte dérobée dans l'un de ses smartphones sous Android.

Le Bureau de Justice US piraté

22-05-2012 à 00:31 - 0 commentaire(s)

Info zataz - Des milliers de données sensibles volées par des Anonymous au Bureau of Justice US.

Anonymous contre pédophiles

22-05-2012 à 00:09 - 0 commentaire(s)

Info ZATAZ : Plusieurs dizaines d´informations concernant des pédophiles présumés venant du réseau Darknet diffusées par des Anonymous.

Vulnérabilité sur les site de FHM, ELLE et Forbes

20-05-2012 à 20:38 - 0 commentaire(s)

Info zataz - Des failles découvertes sur les sites des magazines FHM, ELLE et Forbes peuvent mettre en danger les lecteurs internautes.

Anonymous menacent le gouvernement québécois

20-05-2012 à 20:28 - 0 commentaire(s)

Info @zataz - Le gouvernement Québécois veut faire interdire des manifestations étudiantes. Les Anonymous répondent en lançant des attaques informatiques.

Votre compte Facebook a-t-il été infiltré ?

Info zataz - Une vague de faux messages vise des milliers de comptes Français Facebook. Prudence aux photos sexy diffusées.

Vulnérabilité sur les site de FHM, ELLE et Forbes

Info zataz - Des failles découvertes sur les sites des magazines FHM, ELLE et Forbes peuvent mettre en danger les lecteurs internautes.

Fuite pour l'Université du Massachussets

Info zataz - 3.000 identités d´étudiants, dont des Français, étaient disponibles à partir de l'Université du Massachussets.

Utiliser WhatsApp en WiFi rend les conversations publiques

L’application de messagerie instantanée multiplateforme WhatsApp ne chiffrait pas les données envoyées.

Faille pour le site de Harvard

Info zataz - La prestigieuse école Harvard trouée. Un white hat découvre comment accèder à l'une de ses bases de données.

Rencontres professionnelles de la sécurité informatique

Challenges, conférences, ateliers et démonstrations au programme du salon de la sécurité informatique, les 2 et 3 juin, au Maubeuge

Mise à jour de sécurité pour QuickTime

Apple a publié 17 alertes de sécurité vusant QuickTime Media Player.

Orion Browser Dumper v1.0

Orion Browser Dumper v1.0, un outil qui permet de regarder dans les petits secrets de nos navigateurs Internet.

Réagissez à ce contenu