Publié le 26-12-2011 à 23:08:48 dans le thème Réseau - Sécurité

Pays : France - Auteur : Damien Bancal

Pub : Tous les logiciels anti-spam gratuits disponibles sur Internet

L'année 2011 aura été l'année de toutes les fuites. Dans le premier rapport annuel Protocole d'alerte ZATAZ - HaideD Report 2010 - diffusé en décembre 2010, nous annoncions que l'année 2011 serait l'année des failles iSQL. Une tendance à la hausse. En 2010, les protocoles d´alerte de ZATAZ.COM avaient été multipliés par 3, par rapport à 2009. Pas moins de 1 589 alertes ne concernant que des entreprises Françaises. Des fuites qui auraient pu permettre à un pirate de cumuler près de 500 millions de données appartenant à des Français. Cette année, la hausse ne se dément pas. 1.901 alertes ZATAZ ont été envoyées par courriels, du 1e janvier 2011 au 26 décembre 2011, aux responsables des sites/entreprises/associations touchées par une fuite d'informations. Des alertes de sécurité liées à près de 1.200.000.000 (Un milliard, deux cents millions) de données privées, appartenant à des Français, oubliées/piratées/diffusées sur la toile. Notre second rapport annuel revient sur ces fuites ; les réponses apportées par les entreprises ; les données découvertes ; les corrections et les non corrections ...

1 - Les principaux secteurs d'activités touchés par une fuite en 2011

Ambassade    37
Assurance     11
Banque      40
Boutique      110
Cabinet de conseils     106
Centre de recherche/Université     41
Communauté de communes     14
Conseil Général/régional     8
Concepteur logiciel    29
Chambre de Commerce (CCI)    6
Club sportif 39
Culturel   22
École       23
Mairie       652
Media 90
Site Politique 22
Sites gouvernementaux : 82
Syndicat      15
Transport public (Bus)     10 

2 - Les vecteurs de fuite

Cette année, les grands vecteurs de fuites auront été de trois ordres. D'abord les sauvegardes oubliées sur la toile. Des "backups" qui se retrouvent sur les sites Internet après une mise à jour. Cette année, le protocole d'alerte de ZATAZ.COM en aura recensé 297. L'ensemble a été repéré par Google. Plus de la moitié avaient été sauvegardés par le moteur de recherche américain, via son cache. 37 se sont retrouvés dans le portail de sauvegarde mondial, archive.org. Second gros vecteur de fuite cette année, les injections SQL. Nous annoncions dans notre HaideD Report 2010 que les iSQL seraient la plaie du web en 2011. Nous ne pensions pas avoir aussi raison. Les groupes comme Anonymous, Lulz, Anti-Sec ont diffusé des millions de données, extraits de cette vulnérabilité. Le cas le plus "marquant" de cette exploitation malveillante aura été la diffusion des données clients du géant japonais SONY et de son Playstation Network.

Pour le protocole d'alerte ZATAZ, 411 cas d'iSQL. Des cas qui nous ont été rapportés par des internautes anonymes ou découverts dans des forums, lâchés en pâture, par des bidouilleurs en mal de reconnaissance. Dernier gros vecteur de fuite, en 2011, les spécialistes dans la conception, la réalisation, l’hébergement de site Internet. Fin décembre, ZATAZ.COM a tenté de traiter avec l'une d'elle. 30 millions de chiffres d'affaires par an permet, semble-t-il, de prendre de haut les personnes souhaitant leurs indiquer une fuite de données. Dans ce cas, l'agence avait le même CMS sur l'ensemble des serveurs de ses clients, des mairies, des communautés de communes, des Conseils généraux... Bilan, il suffisait de suivre le lien fourni par Google pour finir avec les sauvegardes, les backups, des sites territoriaux. Bilan, 503 sites réalisés par ces agences, ayant le même CMS "maison", ont fuités en 2011. 

3 - Singes de la sagesse

Alors que la majorité des alertes envoyées à l'étranger (Belgique, Suisse et USD) ont été toutes traitées dans les 72 heures, en moyenne, les alertes en France ont été traitées, en moyenne, en 49 jours. Autant dire qu'il reste encore plusieurs centaines de sites non corrigés. Exactement 371 sur les 1.901 cas Français. Les responsables d'entreprises que nous avons pu joindre avaient, dans 876 cas, le syndrome que ZATAZ.COM a baptisé le syndrome des "trois petits singes". Rien voir, rien entendre, rien dire. Pour exemple, voici un courriel reçu par l'un de ses dirigeants à la suite d'une tentative de prise de contact  "Protocole d'alerte" : "Je suis le P-DG du Groupe [Nom retiré] et suis étonné de votre intervention. (...)  Je demande néanmoins à nos services sécurités de procéder aux vérifications d'usage. (...) Après recherche, je n'ai jamais reçu de mail de votre part, je demande également une vérification en interne. Ma collaboratrice a bien fait de se méfier et de ne pas vous communiquer son nom. Toutefois, elle m'a aussitôt informé de votre appel. Nous allons donc vérifier avec précision vos allégations et je reviendrai vers vous en temps utile. Je ne vous cache pas que de prima bord, je m'interroge sur l'auteur qui vous a commandité pour atteindre [Nom retiré] et lui porter préjudice." Menaçant, ne demandant aucune précision sur le comment de la fuite. Faire appel à un "service de sécurité" qui n'a pas été capable de protéger les données de son employeur et de ses clients laisse songeur. Un coup de téléphone à ZATAZ.COM aura été beaucoup plus simple et rapide. Nous nous mettons juste dans la tête d'un internaute qui découvre une fuite et qui tombe sur ce genre de mur et de comportement. Dans le meilleur des cas, il disparait avec sa découverte. Dans le pire des cas, il l'exploite à des fins malveillantes. Bref, ce "patron" n'a jamais demandé des informations précises sur la fuite qui touchait son entreprise et ses clients.

A noter que ce tableau n'est pas si noir, du moins dans les structures qui se sont éduquées à la communication de crise liée à une fuite de données. Microsoft nous a d’ailleurs remis une récompense, en novembre, en saluant notre « protocole d’alerte ». En France, le CERT A, entité étatique en charge de la sécurité des administrations, a pris en compte 100% des alertes ZATAZ. Même efficacité pour Orange, La Poste, Caisse d'Epargne. Le prix de la vitesse de réponse revient à l'équipe du PMU. Un courriel, un 24 décembre, à 22 heures démontre une conscience claire et précise sur les dangers du web sans faille. 

4 - Près de 1.2 milliard de données de Français en accès libre en 2011

Le moteur de recherche Google indexe des millions de pages, de dossiers, de fichiers, chaque jours. Pour ce faire, le géant de la recherche sur le web exploite plusieurs centaines de robots (spiders - Google Bot) afin d'indexer une partie de l'Internet. Il n'est pas le seul. Nous pouvons aussi nommé FileWatcher File Search, Napalm FT...

Dans cette recherche effrénée, Google et ses amis stockent une "image" de leurs visites. Une partie de ses indexations  sont sauvegardées dans les serveurs de Google.... Notre chiffre de 1.2 milliards de données appartenant à des Français, oubliés sur la toile, mal ou pas protégés a été effectué ainsi. Chaque fois qu'un fichier contenant des informations a été découvert, référencés, ... nous l'avons additionné aux autres. Des fichiers laissés en pâture sur la toile par les sociétés ou par des pirates.

Dans ce dernier cas, les référencements sont tirés de forums, pastbin et autres supports. Jamais de PenTest pour nos alertes. En 2010, les 1 296 HaideD ayant concerné une fuite de données ont engendré 1 092 caches Google. Via ce cache, et uniquement via cette trace sauvegardée par un GoogleBot. En 2011, 1.109 fuites ont été référencées, sauvegardées par un moteur de recherche. ZATAZ.COM a pu calculer que près 1.2 milliard de données appartenant aux internautes Français étaient consultables par un pirate informatique, un escroc du web ou tout simplement, une agence de marketing peu scrupuleuse. Une méthode de calcul simple à mettre en place. Chaque ligne d'information rencontrée a été additionnée. 

5 - Comment ZATAZ.COM peut vous alerter d´un problème de sécurité informatique ?

Depuis 1996, date de création de la version Internet de ZATAZ, nous proposons de l'actualité liée à l'informatique décalée. Nous traitons de sécurité informatique, hackers, pirates, virus, vie privée sur la toile pour le grand public. Le fondateur du site est journaliste professionnel, pas un informaticien. Ce qui ne l'empêche pas de savoir de quoi il parle ou de faire appel à des professionnels pur jus. Depuis 1998, près de 100.000 actualités composent ZATAZ.COM (Brèves, articles, interviews, reportages, ...). ZATAZ.COM a pu aider près de 13.500 sociétés, privées et publiques, associations, ...  Une aide visant à avertir d'une faille, d'une vulnérabilité, d'une fuite de données (Adresses emails, bancaires, dossiers privés, ...). Les alertes sont tirées d'informations envoyées par des lecteurs [Sources préservées et anonymes*] ou trouvées par la rédaction de ZATAZ.COM. Nous ne traitons que de problème de sécurité informatique mis en avant par un lien malheureux, un accès donné par un moteur de recherche, ou le site faillible lui-même.

JAMAIS de "Pen test" ou autres tentatives de piratages. Nous connaissons la loi, la respectons et mettons un point d'honneur à faire respecter les règles. ZATAZ.COM ne relate jamais une alerte sans que le site faillible ne soit corrigé, sauf dans le cas où l'entreprise n'a pas réagi à trois alertes (Ci-dessus, un courrier type d'alerte ZATAZ). Dans ce cas, notre article est diffusé sans aucune possibilité, pour les lecteurs, de retrouver la faille, la vulnérabilité en question. ZATAZ.COM n'est pas une entreprise, une société d'audit ou commercialisant un quelconque outil de sécurité informatique. Nos alertes sont réalisées gratuitement, bénévolement. Nous ne refusons cependant pas les dons (via Paypal). Cet argent nous permet de rembourser les frais que peuvent engendrer les alertes. (Téléphone, huissier, déplacement, ...). En 2011, nous avons reçu 517€.  Autant dire que cela rembourse à peine une centaine d'alertes.

La procédure d'alerte fonctionne ainsi : ZATAZ.COM est prévenu par un lecteur ; ou la rédaction découvre un problème. Pour nous contacter, utilisez UNIQUEMENT l'adresse urgent[AT]damienbancal.fr. N'hésitez pas à utiliser notre clé PGP (GPG) pour nous contacter de manière sécurisée ! Le fondateur de ZATAZ.COM (Damien Bancal et uniquement lui) vérifie l'information. Sa véracité ; son niveau de dangerosité... Captures écrans (photos) et un film (capture vidéo) peuvent être réalisés pour constituer des preuves de la fuite. Des sauvegardes de preuves peuvent être effectuées à partir du cache de Google ou d'autres moteurs de recherche. Nous pouvons faire appel à un huissier de justice afin de constituer des preuves. La constatation est une véritable photographie juridique. Les constatations n'ont aux termes des dispositions légales qu'une valeur de simples renseignements mais les conditions dans lesquelles le constat a été établi ont un véritable caractère authentique via l'heure, le jour, la prise d'information sur la constitution des preuves.  Un courriel est envoyé à l'administrateur du site via l'adresse publique qui sera trouvée sur le site en question (voir la capture écran, ci-dessus, d'un courrier type). Adresse ou formulaire web. Nous nous mettons dans la peau d'un internaute qui souhaite joindre un responsable. Au bout de 7 jours sans réponse, Damien Bancal et uniquement lui, via une adresse électronique identifiable via sa signature numérique et sa clé PGP publique, utilisera ses ressources de journaliste pour joindre le service presse et le responsable du site touché par la fuite en question. Ce courriel est baptisé "HaideD ciblé".  Une alerte sera lancée au bout de 8 jours via le compte Twitter de @ZATAZ. L'HaideD ciblé est automatiquement couplé au Député Sébastien Huyghes (Commissaire à la CNIL), ainsi qu'aux différents CERT (CERT A ;  CERT IST). Dans les cas les plus graves (Données bancaires, ...) nous alertons aussi le Chef de l'opérationnel à l'OCLCTIC, l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication et/ou des NTECH de la Gendarmerie Nationale. Pour les sites étatiques (Ministères, administration, ...) nous contactons le CERT A. Aucune réponse du site contacté au bout de 9 jours ? Nous écrivons un article sur la fuite en question dans la condition ou l'écrit ne mettra pas en danger le site touché par la fuite et surtout les personnes contenues dans cette fuite. Nous considérons qu'attendre trop longtemps sans alerter l'opinion publique met en danger les personnes contenues dans les données non sécurisés. Les pirates sont de plus en plus rapides. ZATAZ.COM souhaite leur couper l'herbe sous le pied le plus rapidement possible.  

6 - L'obligation de notification

L'article 38 de l'ordonnance du 24 août 2011 intègre un article 34 bis dans la Loi n°78-17 du 6 janvier 1978 qui institut une obligation de notification en cas de violations de données personnelles (Data Security Breach). L'obligation de notification concerne les données traitées dans le cadre de la « fourniture de services de communications électroniques ouverts au public », ce incluant également les fournisseurs « prenant en charge les dispositifs de collecte de donnée et d'identification ». Efficace ? Aucune des sociétés aidées n'a alerté ses clients. Une étude récente rappelait que 59% des entreprises françaises pensent que leur direction générale devrait manifester davantage d´intérêt pour la sécurité informatique. Toutes les entreprises n’ont pas conscience de l’importance de la sécurité informatique. 30% des entreprises n’ont pas encore totalement mis en œuvre une protection antimalware ne serait-ce qu’élémentaire. Dans la pratique, cela signifie que, même si elles utilisent souvent des scanners de virus, soit des modules essentiels sont absents (antispyware, par exemple), soit tous les ordinateurs ne sont pas protégés contre les malwares. C’est ainsi que de nombreuses entreprises protègent leurs postes de travail Windows mais négligent les Mac de leurs graphistes ou les smartphones de leurs salariés. Elles font appels à des prestataires de service qui leur promettent sécurité et confidentialité sans en avoir la moindre preuve. Le "Pas vue, pas pris", un sport national. Les cadres dirigeants sont donc instamment invités à se soucier davantage de la sécurité informatique et à fixer des règles claires.

On peut rajouter à cela le manque d'écoute des services presses contactés lors de la découverte d'une fuite de sécurité visant l'entreprise qu'elle chapeaute. ZATAZ.COM a, entre le 1e janvier 2011 et le 26 décembre 2011 a contacté 436 services presses/communications pour un résultat qui laisse songeur : 79 réponses. A noter que les notifications envoyées à la CNIL (par email ou via Twitter) n'ont jamais reçu de réponse de cette dernière. 

7 - Usage, identification et vérification des sources

La crédibilité de la presse dépend de sa transparence. Le recours à une source anonyme pour révéler une information ne doit donc être utilisé qu'en une situation tout à fait exceptionnelle, lorsqu'il n'est pas possible par aucun autre moyen de diffuser une information jugée fiable et essentielle. Choisir d'accorder l'anonymat à une source ne se fait pas sans règle. ZATAZ.COM doit s'assurer de la fiabilité de cette source. Vérifier l'authenticité de l'information obtenue. 

ZATAZ.COM a, depuis sa création, comme engagement fondamental de livrer une information sûre et vérifiée, mais dans la plus grande transparence. L'anonymat à une source ne se fait pas sur une base automatique. On ne devrait pas non plus l'offrir comme monnaie d'échange à une information qui ne mérite pas un tel traitement. Un journaliste est, en cette ère d'intoxication, de plus en plus confronté à un barrage d'informations livrées par des experts dont l'intérêt justement dépend du secret. Il faut donc se prémunir contre cette forme de manipulation en discernant avec rigueur les impératifs pour lesquels l'anonymat peut être accordé.

Lorsque l'information livrée par une source est jugée d'intérêt public, il arrive que la protection de l'anonymat de la source réponde à un impératif évident. Si la source refuse de se confier publiquement pour éviter des menaces réelles ou appréhendées à sa sécurité physique, des menaces de représailles, la menace de poursuites légales ou la menace de perdre son emploi. Dans ces cas, ZATAZ.COM lui accordera l'anonymat.

Tweet

Un Anonymous Français déclare la guerre aux hébergeurs

25-05-2012 à 13:05 - 1 commentaire(s)

Info zataz - Des dizaines d'hébergeurs sous le contrôle d'un Anonymous Français. Il déclare la guerre aux serveurs privés Dofus.

Votre compte Facebook a-t-il été infiltré ?

24-05-2012 à 12:09 - 0 commentaire(s)

Info zataz - Une vague de faux messages vise des milliers de comptes Français Facebook. Prudence aux photos sexy diffusées.

Fuite de données pour iPhone

22-05-2012 à 00:43 - 0 commentaire(s)

Info zataz - Un iPhone jailbreaké couplé avec Tweak Bulletin permet de passer outre le mot de passe d´ouverture du téléphone.

Téléphone portable ZTE piégé

22-05-2012 à 00:38 - 0 commentaire(s)

Le fabricant chinois de téléphone portable ZTE a confirmé la présence d'une porte dérobée dans l'un de ses smartphones sous Android.

Le Bureau de Justice US piraté

22-05-2012 à 00:31 - 0 commentaire(s)

Info zataz - Des milliers de données sensibles volées par des Anonymous au Bureau of Justice US.

Anonymous contre pédophiles

22-05-2012 à 00:09 - 0 commentaire(s)

Info ZATAZ : Plusieurs dizaines d´informations concernant des pédophiles présumés venant du réseau Darknet diffusées par des Anonymous.

Vulnérabilité sur les site de FHM, ELLE et Forbes

20-05-2012 à 20:38 - 0 commentaire(s)

Info zataz - Des failles découvertes sur les sites des magazines FHM, ELLE et Forbes peuvent mettre en danger les lecteurs internautes.

Anonymous menacent le gouvernement québécois

20-05-2012 à 20:28 - 0 commentaire(s)

Info @zataz - Le gouvernement Québécois veut faire interdire des manifestations étudiantes. Les Anonymous répondent en lançant des attaques informatiques.

Votre compte Facebook a-t-il été infiltré ?

Info zataz - Une vague de faux messages vise des milliers de comptes Français Facebook. Prudence aux photos sexy diffusées.

Vulnérabilité sur les site de FHM, ELLE et Forbes

Info zataz - Des failles découvertes sur les sites des magazines FHM, ELLE et Forbes peuvent mettre en danger les lecteurs internautes.

Fuite pour l'Université du Massachussets

Info zataz - 3.000 identités d´étudiants, dont des Français, étaient disponibles à partir de l'Université du Massachussets.

Utiliser WhatsApp en WiFi rend les conversations publiques

L’application de messagerie instantanée multiplateforme WhatsApp ne chiffrait pas les données envoyées.

Faille pour le site de Harvard

Info zataz - La prestigieuse école Harvard trouée. Un white hat découvre comment accèder à l'une de ses bases de données.

Rencontres professionnelles de la sécurité informatique

Challenges, conférences, ateliers et démonstrations au programme du salon de la sécurité informatique, les 2 et 3 juin, au Maubeuge

Mise à jour de sécurité pour QuickTime

Apple a publié 17 alertes de sécurité vusant QuickTime Media Player.

Orion Browser Dumper v1.0

Orion Browser Dumper v1.0, un outil qui permet de regarder dans les petits secrets de nos navigateurs Internet.

Réagissez à ce contenu