Publié le 23-06-2011 à 01:19:48 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal

Pub : Tous les logiciels antispyware gratuits disponibles sur Internet

INFO ZATAZ - Aryas, un pseudo, est un autodidacte de l'Internet. Âgé de 23 ans, il est pentester, comprenez qu'il teste des failles, et s'assure que le serveur qu'il audit n'a pas de risque de sécurité. Début juin, le jeune homme s'est penché sur la sécurité du site SEGA.COM. Comme ZATAZ.COM l'indiquait alors, le piratage a pu être effectué à partir d'une iSQL, d'une injection SQL. Bilan, le géant japonais du jeu vidéo a fermé son espace numérique pour correction. La faille se situait dans la partie Help du portail britannique de la firme nippone. Aryas risque, aujourd'hui, jusqu'à 5 ans de prison et une forte amende.

ZATAZ.COM - Pourquoi Sega ?

Aryas - C'est paradoxal puisque Sega a marqué mes débuts dans le jeu vidéo. Cependant, au moment de ma visite, mon but n’était pas de nuire à SEGA, mais prouver certaines choses que j'expliquerai plus loin. J'avoue que j'ai été pris par la curiosité. Une curiosité qui a eu pour conséquence de me donner l'envie d’éplucher la base de données de cet éditeur de jeux vidéo.

ZATAZ.COM - Avez-vous tenté de les contacter ?

Aryas - Non, j'avoue que j'ai fait une erreur sur ce point. Mais mon expérience m'a déjà démontré que bon nombre d'entreprises voient d'un mauvais œil ce genre d'audit. [L'audit sauvage est considéré comme un acte de piratage par la justice de nombreux pays, NDR]. J'ai souvenir d'une entreprise que j'ai voulu aider. Ils m'ont harcelé, histoire de me pousser à la faute. Ont-ils eu peur de se faire "rooter"?

ZATAZ.COM - Sega parle du "vol" des données, avez-vous vraiment volé les informations des membres ?

Aryas - J'ai dumpé (téléchargé, NDLR) les informations d'un millier de membres, que j'ai supprimé par la suite. [Les tables de la base de données de Sega ont été diffusée le 8 juin sur PastBin, voir notre catpure écran ci-dessous, NDLR]. J'ai été très surpris de voir le nombre colossal que SEGA a annoncé [plus de 1.2 millions de compte, NDLR]. En ayant lu cela, je me pose une question : Est-ce que je suis le seul a être allé rendre une visite à Sega ?

ZATAZ.COM - Votre action, un défit personnel ?

Aryas - Absolument pas ! J'avais pour projet de tourner une suite de vidéos pour montrer que les sites des grandes entreprises ont une sécurité qui avoisine souvent le 0. Personnellement, je connais beaucoup de webmasteurs autodidactes qui ne trouvent pas de boulot et qui pourtant font des sites avec une sécurité plus conséquente que celle de SEGA !

ZATAZ.COM - Quand avez-vous eu l'idée de vous intéresser à SEGA ?

Aryas - Quand j'ai décidé de faire ma suite de vidéos. Il me fallait bien trouver quelque chose. En ayant eu vent des actions du groupe Lulzsec, je me suis dit pourquoi pas ?

ZATAZ.COM - Pourquoi vouloir en parler aujourd'hui ?

Aryas - Parce que j'ai lu que mon action était peut être lancée par une nouvelle organisation pirate. C'est totalement faux. Je ne peux pas laisser dire ça. Ça n'a aucun rapport avec ce que j'ai fait. Je ne déface pas [barbouillage d'une page web, NDLR] ; je ne détruis pas ; je ne vends pas ce que je peux récupérer ; je comptais juste publier, partiellement, mes preuves.

ZATAZ.COM - Avez vous peur des représailles de SEGA, et donc de la justice ?

Aryas - Pas plus que ça. Je ne fais rien de chez moi, et de plus, j'utilise un serveur VPN (Réseau Virtuel Privé - Angleterre, suède, Allemagne, Ukraine)

ZATAZ.COM - Vous avez utilisé un logiciel iranien pour votre découverte, pensez-vous que ce genre d'outil est dangereux ?

Aryas - Oui, il suffit de connaitre le nom du logiciel et le tour est joué ! C'est un outil puissant qui a ses faiblesses. Pour quelqu'un qui n'a que ça à faire. Un petit dork et il pownd (pirate) à tour de bras!

ZATAZ.COM - Comment expliquez vous que des sites comme Sony, SEGA, ... soient aussi troués ?

Aryas - Le prestige. Le fait qu'ils soient aussi connus leur laisse peut être penser qu'ils ont le droit de mettre les informations sensibles de leurs clients en danger. Comme l'a chanté un très bon groupe de musique : "Ha c'est pour ça qu'ça fouette? Nan ça c'est l'prestige qui pète!" [Il parle du groupe Wringgles, NDLR]

ZATAZ.COM - Nous pensons que les iSQL (injections SQL) sont la plaie de ces 5 dernières années, qu'en pensez-vous ?

Aryas - Bien sur! D'ailleurs, j'ai bien l'impression que la vague faille web laisse oublier l'apprentissage des vulnérabilités réseaux et applicatives. Je suis un fier partisan de la recherche de faille applicative et je suis désespéré de voir que la nouvelle génération ne s'en occupe pas du tout.

ZATAZ.COM - Comment pensez-vous que SEGA se soit rendu compte de votre visite ?

Aryas - A vrai dire... J'en n'ai aucune idée. Certainement mon logiciel qui fait le barbare au niveau des requêtes qu'il communique.

ZATAZ.COM - Vous avez d'autres "cibles" ?

Aryas - Je pense que oui, mais ce ne sera pas aussi conséquent que SEGA.

ZATAZ.COM - Que pensez-vous des actions des LULzSec ?

Aryas - Je pense qu'ils ont raison d'agir ainsi, pour faire comprendre que la sécurité informatique n'est pas a prendre a la légère, mais apparemment, ils ont mal pris mes agissements.

ZATAZ.COM - Les Anonymous ?

Aryas - Ils servent une cause noble ! Je suis de leurs avis. Cependant, ils n'ont rien à voir avec ce que j'ai fait !

Tweet

Un Anonymous Français déclare la guerre aux hébergeurs

25-05-2012 à 13:05 - 1 commentaire(s)

Info zataz - Des dizaines d'hébergeurs sous le contrôle d'un Anonymous Français. Il déclare la guerre aux serveurs privés Dofus.

Votre compte Facebook a-t-il été infiltré ?

24-05-2012 à 12:09 - 0 commentaire(s)

Info zataz - Une vague de faux messages vise des milliers de comptes Français Facebook. Prudence aux photos sexy diffusées.

Fuite de données pour iPhone

22-05-2012 à 00:43 - 0 commentaire(s)

Info zataz - Un iPhone jailbreaké couplé avec Tweak Bulletin permet de passer outre le mot de passe d´ouverture du téléphone.

Téléphone portable ZTE piégé

22-05-2012 à 00:38 - 0 commentaire(s)

Le fabricant chinois de téléphone portable ZTE a confirmé la présence d'une porte dérobée dans l'un de ses smartphones sous Android.

Le Bureau de Justice US piraté

22-05-2012 à 00:31 - 0 commentaire(s)

Info zataz - Des milliers de données sensibles volées par des Anonymous au Bureau of Justice US.

Anonymous contre pédophiles

22-05-2012 à 00:09 - 0 commentaire(s)

Info ZATAZ : Plusieurs dizaines d´informations concernant des pédophiles présumés venant du réseau Darknet diffusées par des Anonymous.

Vulnérabilité sur les site de FHM, ELLE et Forbes

20-05-2012 à 20:38 - 0 commentaire(s)

Info zataz - Des failles découvertes sur les sites des magazines FHM, ELLE et Forbes peuvent mettre en danger les lecteurs internautes.

Anonymous menacent le gouvernement québécois

20-05-2012 à 20:28 - 0 commentaire(s)

Info @zataz - Le gouvernement Québécois veut faire interdire des manifestations étudiantes. Les Anonymous répondent en lançant des attaques informatiques.

Votre compte Facebook a-t-il été infiltré ?

Info zataz - Une vague de faux messages vise des milliers de comptes Français Facebook. Prudence aux photos sexy diffusées.

Vulnérabilité sur les site de FHM, ELLE et Forbes

Info zataz - Des failles découvertes sur les sites des magazines FHM, ELLE et Forbes peuvent mettre en danger les lecteurs internautes.

Fuite pour l'Université du Massachussets

Info zataz - 3.000 identités d´étudiants, dont des Français, étaient disponibles à partir de l'Université du Massachussets.

Utiliser WhatsApp en WiFi rend les conversations publiques

L’application de messagerie instantanée multiplateforme WhatsApp ne chiffrait pas les données envoyées.

Faille pour le site de Harvard

Info zataz - La prestigieuse école Harvard trouée. Un white hat découvre comment accèder à l'une de ses bases de données.

Rencontres professionnelles de la sécurité informatique

Challenges, conférences, ateliers et démonstrations au programme du salon de la sécurité informatique, les 2 et 3 juin, au Maubeuge

Mise à jour de sécurité pour QuickTime

Apple a publié 17 alertes de sécurité vusant QuickTime Media Player.

Orion Browser Dumper v1.0

Orion Browser Dumper v1.0, un outil qui permet de regarder dans les petits secrets de nos navigateurs Internet.