Actualité

 

Un site de Nissan infiltré

Publié le 07-07-2011 à 01:37:19 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal


Pub : Tous les antivirus en ligne pour désinfecter votre ordinateur


Note des lecteurs: 3.0/5

INFO ZATAZ - Un site Internet du constructeur automobile Nissan piraté... pour dénoncer la mauvaise sécurité du web ! Il se nomme Auth3ntiQ, un jeune internaute Français passionné de sécurité informatique, qui fait pas mal parlé de lui ces derniers temps. Le bidouilleur vient d'annoncer le piratage d'un site Internet de la firme automobile Nissan, filiale de Renaud. ZATAZ.COM ne fournira pas l'url du site concerné, la faille n'ayant pas été corrigée.

"Je n'ai rien téléchargé, souligne-t-il à ZATAZ.COM. Je veux juste démontrer que les grosses sociétés ne se sécurisent pas correctement." D'après les informations reçues, la base de données nissan_2010 semble être interceptable sans grand effort. "J'ai même la possibilité d'upload des pages en php, avoue-t-il à ZATAZ.COM. Ce que je n'ai pas fait !" Une autre possibilité malveillante qui pourrait permettre à un pirate la diffusion d'un code malveillant aux couleurs du constructeur automobile. "Mon but n'est pas de détruire, mais d'aider".

Faut-il rappeler que l'audit de site Internet, sans y avoir été invité, est considéré par la justice Française comme un délit ? Le fait de copier des bases de données via un code pirate ne fait que durcir la peine. Le code pénal Français prévoit des peines de prison pouvant atteindre trois ans d'emprisonnement ferme et une amende de 45000 euros. Ces actes tombent sous le coup de plusieurs articles de loi. LOI N°88-19 DU 5 JANVIER 1988 (Loi Godfrain) relative à la fraude informatique ; abrogé par Loi n°92-1336 du 16 décembre 1992 art. 372. La loi du 15 novembre 2001 relative à la sécurité quotidienne. La loi du 18 mars 2003 pour la sécurité intérieure. La loi du 9 mars 2004 portant adaptation de la justice aux évolutions de la criminalité. La loi pour la confiance dans l'économie numérique du 21 juin 2004, qui a modifié les articles 323-1 et suivant du Code pénal. Cette loi a, en outre, modifié l’article 94 du Code de procédure pénale relatif à l’inclusion des données informatiques dans la liste des pièces susceptibles d'être saisies lors des perquisitions réalisées en flagrant délit ou au cours d'une instruction. La loi du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle. La loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers. La loi du 5 mars 2007 relative à la prévention de la délinquance.

 

# Liens connexes

Loi Française Cybercrime

 

Conseiller cet article Réagir RSS ZATAZ Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur del.icio.us

Derniers contenus

Un Anonymous Français déclare la guerre aux hébergeurs

25-05-2012 à 13:05 - 1 commentaire(s)

Info zataz - Des dizaines d'hébergeurs sous le contrôle d'un Anonymous Français. Il déclare la guerre aux serveurs privés Dofus.

Votre compte Facebook a-t-il été infiltré ?

24-05-2012 à 12:09 - 0 commentaire(s)

Info zataz - Une vague de faux messages vise des milliers de comptes Français Facebook. Prudence aux photos sexy diffusées.

Fuite de données pour iPhone

22-05-2012 à 00:43 - 0 commentaire(s)

Info zataz - Un iPhone jailbreaké couplé avec Tweak Bulletin permet de passer outre le mot de passe d´ouverture du téléphone.

Téléphone portable ZTE piégé

22-05-2012 à 00:38 - 0 commentaire(s)

Le fabricant chinois de téléphone portable ZTE a confirmé la présence d'une porte dérobée dans l'un de ses smartphones sous Android.

Le Bureau de Justice US piraté

22-05-2012 à 00:31 - 0 commentaire(s)

Info zataz - Des milliers de données sensibles volées par des Anonymous au Bureau of Justice US.

Anonymous contre pédophiles

22-05-2012 à 00:09 - 0 commentaire(s)

Info ZATAZ : Plusieurs dizaines d´informations concernant des pédophiles présumés venant du réseau Darknet diffusées par des Anonymous.

Vulnérabilité sur les site de FHM, ELLE et Forbes

20-05-2012 à 20:38 - 0 commentaire(s)

Info zataz - Des failles découvertes sur les sites des magazines FHM, ELLE et Forbes peuvent mettre en danger les lecteurs internautes.

Anonymous menacent le gouvernement québécois

20-05-2012 à 20:28 - 0 commentaire(s)

Info @zataz - Le gouvernement Québécois veut faire interdire des manifestations étudiantes. Les Anonymous répondent en lançant des attaques informatiques.

Sur le même thème : Réseau - Sécurité

Votre compte Facebook a-t-il été infiltré ?

Info zataz - Une vague de faux messages vise des milliers de comptes Français Facebook. Prudence aux photos sexy diffusées.

Vulnérabilité sur les site de FHM, ELLE et Forbes

Info zataz - Des failles découvertes sur les sites des magazines FHM, ELLE et Forbes peuvent mettre en danger les lecteurs internautes.

Fuite pour l'Université du Massachussets

Info zataz - 3.000 identités d´étudiants, dont des Français, étaient disponibles à partir de l'Université du Massachussets.

Utiliser WhatsApp en WiFi rend les conversations publiques

L’application de messagerie instantanée multiplateforme WhatsApp ne chiffrait pas les données envoyées.

Faille pour le site de Harvard

Info zataz - La prestigieuse école Harvard trouée. Un white hat découvre comment accèder à l'une de ses bases de données.

Rencontres professionnelles de la sécurité informatique

Challenges, conférences, ateliers et démonstrations au programme du salon de la sécurité informatique, les 2 et 3 juin, au Maubeuge

Mise à jour de sécurité pour QuickTime

Apple a publié 17 alertes de sécurité vusant QuickTime Media Player.

Orion Browser Dumper v1.0

Orion Browser Dumper v1.0, un outil qui permet de regarder dans les petits secrets de nos navigateurs Internet.

Vos réactions ( 6 )

 Ecrit par CybStup le 07.07.2011 à 08h34 

#

Modérateur ZATAZ


Inscrit le 12-01-2008

De la même manière, on va coller un casque de moto sur le museau d'Auth3ntiQ et lui démontrer qu'avec l'action malveillante d'un tiers, il risque non seulement de perdre un membre mais aussi la vie. Mais rassurez-vous messieurs-dames, c'est juste une petite démonstration pour prouver qu'avoir des protections ne protège pas de la fatalité. N'essaye pas de noyer le poisson avec des excuses bidons car à l'heure actuelle la seule chose que tu es, c'est une nuisance et non un possible remède. Tu n'apporte rien de plus et le pire c'est que tu le sais déjà. Les exemples isolés n'apportent rien à part des ennuis sur le long terme. Si tu veux aider, il y a bien d'autres méthodes mais pour ça il faut se donner les moyens - trouve toi un job à la hauteur de tes ambitions ou bien reste un cybercriminel. Il faut choisir ton camps et assumer tes responsabilités - ce n'est pas possible de frapper et s'excuser par la suite ; tu cherches quoi au juste, à devenir un martyr aux yeux des pirates ? Tu attires l'attention, non pas sur les faiblesses mais sur ta propre personne. Même si tes motivations sont "bonnes" ce n'est pas acceptable car si la fin justifie les moyens alors c'est que tu prônes une logique terroriste - réfléchi bien à ça. A force de rester les fesses entre deux chaises, tu vas chopper des hémorroïdes. Si tu es derrière des barreaux, tu n'aideras personne. Si tu veux marquer les esprits en "bien", propose et développe des projets, apporte des solutions,... La vie est belle mais parfois plus courte qu'elle n'y parait, n'attends plus.

 Ecrit par jubeiiiiii le 07.07.2011 à 11h44 

#

ZATAZien


Inscrit le 17-04-2008

@CybStup :
je te cite "Même si tes motivations sont "bonnes" ce n'est pas acceptable car si la fin justifie les moyens alors c'est que tu prônes une logique terroriste"

pour prendre un parallèle aussi facile que toi : les USA ont tué Ben Laden, sans autre forme de procès. Etait-ce là l'illustration de tes propos quant à la logique terroriste ?
*je ne remet en cause ni ne défend ce qui a été fait, je me demande juste si le ton un peu moralisateur du commentaire est tellement justifié ?
non pas que j'encourage ce genre de choses (pirater, c'est mal) mais là où Auth3ntiQ a montré une faille sans l'utiliser, tu parles de mettre un casque et lui démontrer via l'action d'un tiers que c'était utile...

Je me rappelle le temps où Zataz recevait des informations sur les failles de certains sites,
prévenait les administrateurs de ces sites, et au bout d'un moment, corrigé ou non, montrait aux yeux de toutes et tous la dite faille...

Quid de la méthodologie ? n'est-ce pas la même ?

 Ecrit par ZATAZ le 07.07.2011 à 12h45 

#

ZATAZ Admin


Inscrit le 07-05-2005

@jubeiiiiiii : "Je me rappelle le temps " ! Heu, celà fait 15 ans que ça dure. Nous sommes déjà à près de 2.000 alertes en 2011. Autre détail, sur la methodologie : il n'y a jamais de Pentest effectué par ZATAZ ; aucun téléchargement de données en "fuite" ou exploitation d'un hack toolz.

 Ecrit par jubeiiiiii le 07.07.2011 à 14h19 

#

ZATAZien


Inscrit le 17-04-2008

c'est bien ce que je dis... je n'ai jamais dit qu'il y avait eut hack ou telechargement ou autre de la part de Zataz, bien loin de là (en tant qu'avertisseur public, vous êtes plus qu'une référence) je n'ai jamais dit que cela c'était arrêté, mais lorsque je lis l’opprobre de CybStup je n'ai néanmoins pas pu m’empêcher de réagir.
quand au téléchargement, il me semble, si je lis bien votre article :
""Je n'ai rien téléchargé, souligne-t-il à ZATAZ.COM. Je veux juste démontrer que les grosses sociétés ne se sécurisent pas correctement." D'après les informations reçues, la base de données nissan_2010 semble être interceptable sans grand effort. "J'ai même la possibilité d'upload des pages en php, avoue-t-il à ZATAZ.COM. Ce que je n'ai pas fait !" "

du coup on peut dire qu'il a en effet effectué un pentest (n'étant pas particulièrement féru des termes techniques je suppute qu'il s'agit là d'une intrusion (illégale) dans le système) mais pas autre chose ?

maintenant, si vous voulez vilipender toutes celles et tous ceux qui effectuent ces activités...

 Ecrit par CybStup le 07.07.2011 à 14h44 

#

Modérateur ZATAZ


Inscrit le 12-01-2008

@jubeiiiiii: Pour l'image du casque, c'était justement une illustration burlesque qui souligne des justificatifs d'actes qui le sont tout autant. Par contre tu as raison sur un point, j'aurai dû dans le présent contexte m'en tenir au proverbe. En revenche, là où tu fais une erreur de jugement c'est que même si une faille n'est pas exploitée, le simple fait de la médiatiser et diffuser des informations étoffées de captures d'écrans (Pastebin) sera perçue comme une offense et qui plus est ça porte directement ou indirectement atteinte à l'image. Loin de là l'idée de vilipender, n'exagérons rien..

 Ecrit par jubeiiiiii le 07.07.2011 à 14h58 

#

ZATAZien


Inscrit le 17-04-2008

Au temps pour moi ohmy.gif) et merci pour la précision qui n'est certainement pas (et de loin) intuitive pour moi.
à tantôt!

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.

 


vpngratuit.fr - VPN Gratuit.

Crèez un site gratuitement.



Nuit du Hack 23/24 juin 2012.



ZATAZ.COm, site recommandé par ORANGE.       ZATAZ.COM trois fois récompensé par Microsoft


Application iPhone et iPad ZATAZ, gratuite et sans publicité.
Application iPhone et iPad ZATAZ, gratuite et sans publicité.



Labs ZATAZ

CVE-2011-3230 Apple Safari file:// Arbitrary Code Execution Metasploit Demo

Timeline : Vulnérabilité découverte par Aaron Sigel Publication coordonnée de la vulnérabilité le 12-10-2011 PoC Metasploit fournit le 16-10-2011 PoC fournit par : Aaron Sigel sinn3r Référence(s) : CVE-2011-3230 HT5000 Version(s) affectée(s) : Safari 5.1 pour Mac OS X v10.6.8 Safari 5.1 pour Mac [...]

Modules Metasploit Auxiliaires MySQL

Metasploit fournit des modules auxiliaires pour la base de données MySQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes SQL et de récupérer des [...]

Modules Metasploit Auxiliaires PostgreSQL

Metasploit fournit des modules auxiliaires pour la base de données PostgreSQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes SQL et lire des [...]

CVE-2011-0807 : Sun/Oracle GlassFish Server Authenticated Code Execution Metasploit Demo

Timeline : Vulnérabilité découverte par Jason Bowes et soumise à ZDI Notification initiale de ZDI vers le fournisseur le 23-09-20102 Publication coordonnée de la vulnérabilité le  19-04-2011 PoC Metasploit fournit le 04-08-2011 PoC fournit par : juan vazquez Joshua Abraham sinn3r Référence(s) [...]

Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA