Reportage
Protocole ZATAZ.COM
Publié le 08-08-2009 dans le thème HaideD
Pays : France - Auteur : Damien Bancal
Pub : Tous les logiciels firewall gratuits disponibles sur Internet
Comment ZATAZ.COM peut vous alerter d´un problème de sécurité informatique ? (Document mis à jour le 08/08/09)
Depuis 1996, date de création de la version Internet de ZATAZ, nous proposons de l'actualité liée à l'informatique décalée. Nous traitons de sécurité informatique, hackers, pirates, virus, vie privée sur la toile pour le grand public. Le fondateur du site est journaliste professionnel, pas un informaticien. Ce qui ne l'empêche pas de savoir de quoi il parle ou de faire appel à des professionnels pur jus.
Depuis 1998, près de 100.000 actualités composent ZATAZ.COM (Brèves, articles, interviews, reportages, ...)
ZATAZ.COM a pu aider près de 8.000 sociétés, privées et publiques, associations, ...
Une aide visant à avertir d'une faille, d'une vulnérabilité, d'une fuite de données (Adresses eMails, bancaires, dossiers privés, ...).
Nous avons baptisé cette spécificité de ZATAZ.COM, les HaideD. Des alertes pour prévenir d'un potentiel et gênant HackeD, d'un piratage informatique. [Quelques exemples]
Les alertes sont tirées d'informations envoyées par des lecteurs [Sources préservées et anonymes*] ou trouvées par la rédaction de ZATAZ.COM.
Nous ne traitons que de problème de sécurité informatique mis en avant par un lien malheureux, un accès donné par un des nombreux moteurs de recherche, ou le site faillible lui même. JAMAIS de "Pen test" ou autres tentatives de piratages. Nous connaissons la loi, la respectons et mettons un point d'honneur à faire respecter les règles.
ZATAZ.COM ne relate jamais une alerte sans que le site ait été corrigé, sauf dans le cas ou l'entreprise n'a pas réagi à nos trois alertes (voir ci-dessous, ndr). Notre article sera diffusé sans aucune possibilité de trouver la faille en question.
ZATAZ.COM n'est pas une entreprise, une société d'audit ou commercialisant un quelconque outil de sécurité informatique. Nos alertes sont réalisées gratuitement, sans contre-partie (Mais nous ne refusons pas les dons.).
Plus de 8.000 entreprises/associations ont été aidées, 1 seul problème. Une entreprise aidée, et qui avait remercié, changait son fusil d'épaule et nous attaquait en justice. Affaire que nous avons gagné. [Mais qui nous aura coûté 12.000 euros !]
Notre procédure d'alerte fonctionne ainsi :
1 - ZATAZ.COM est prévenu par un lecteur; la rédaction découvre un problème.
2 - Le fondateur de ZATAZ.COM (Damien Bancal et uniquement lui) vérifie l'information. Sa véracité; Son niveau de dangerosité; ...
3 - Captures écrans (photos) et un film (capture vidéo) sont réalisés pour preuve. Des sauvegardes de preuves peuvent être effectuées à partir du cache de Google ou d'autres moteurs de recherche. Nous pouvons faire appel à Maître Dekerle, huissier de justice, pour des constatations, véritable photographie juridique. Les constatations n'ont aux termes des dispositions légales qu'une valeur de simples renseignements mais les conditions dans lesquelles le constat a été établi ont un véritable caractère authentique via l'heure, le jour, la prise d'information sur la constitution des preuves.
4 - Un contact par courrier électronique est envoyé à l'administrateur du site (Das la majorité des cas à la direction) via l'adresse publique qui sera trouvée sur le site en question, via l'Afnic, ...
5 - Notre courrier est automatiquement couplé au Député Sébastien Huyghes (Commissaire à la CNIL), ainsi qu'au CERT IST. Dans les cas les plus graves (Données bancaires, ...) nous alertons aussi l'équipe du Commandant Georges de SOUQUAL, Chef de l'opérationnel à l'OCLCTIC, l'Office central de lutte contre la criminalité liée aux technologies de lʼinformation et de la communication.
6 - Pour les sites étatiques (Ministères, administration, ...) nous contactons notre correspondant au CERTA.
7 - Aucune réponse du site contacté ? Nous téléphonons, au bout de 5 jours, pour tenter de joindre un responsable de la société.
8 - La correction est effectuée. La rédaction décidera si, oui ou non, un article est utile pour les lecteurs. En gros, si l'entreprise a laissé des informations sensibles (données bancaires, ...) appartenant à ses clients, il est de notre devoir nous vous en alerter.
9 - Pas de correction, de réponse ? Nous écrirons un article (d'alerte) après 21 jours de silence.
10 - Dans tous les cas, ZATAZ.COM ne réclame AUCUNE contre-partie (argent, cadeau, ...). Il est cependant possible de nous faire un don. Argent qui nous permet de payer les frais de fonctionnement de notre protocole d'alerte (téléphone, huissier, ...).
Pour nous contacter, alerter, ... utiliser uniquement cette adresse.
*Usage, identification et vérification des sources
La crédibilité de la presse dépend de sa transparence. Le recours à une source anonyme pour révéler une information ne doit donc être utilisé qu'en une situation tout à fait exceptionnelle, lorsqu'il n'est pas possible par aucun autre moyen de diffuser une information jugée fiable et essentielle. Choisir d'accorder l'anonymat à une source ne se fait pas sans régle. ZATAZ.COM doit s'assurer de la fiabilité de cette source. Vérifier l'authenticité de l'information obtenue.
ZATAZ.COM a, depuis sa création, comme engagement fondamental de livrer une information sûre et vérifiée, mais dans la plus grande transparence. L'anonymat à une source ne se fait pas sur une base automatique. On ne devrait pas non plus l'offrir comme monnaie d'échange à une information qui ne mérite pas un tel traitement. Un journaliste est, en cette ère d'intoxication, de plus en plus confronté à un barrage d'informations livrées par des experts dont l'intérêt justement dépend du secret. Il faut donc se prémunir contre cette forme de manipulation en discernant avec rigueur les impératifs pour lesquels l'anonymat peut être accordé.
Lorsque l'information livrée par une source est jugée d'intérêt public, il arrive que la protection de l'anonymat de la source réponde à un impératif évident. Si la source refuse de se confier publiquement pour éviter des menaces réelles ou appréhendées à sa sécurité physique, des menaces de représailles, la menace de poursuites légales ou la menace de perdre son emploi. Dans ces cas, ZATAZ.COM lui accordera l'anonymat.
# Liens connexes
Le site qui explique la faille
Derniers contenus
L´ANSSI recrute de manière originale
06-02-2012 à 19:16 - 0 commentaire(s)
INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.
Nouvelle attaque à l´encontre des clients du Crédit Agricole
05-02-2012 à 10:43 - 0 commentaire(s)
INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.
Sauvegarde des conversations téléphoniques pour France télévision
04-02-2012 à 11:42 - 0 commentaire(s)
INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.
Faille sur le site Wikileaks
04-02-2012 à 11:27 - 0 commentaire(s)
INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.
Piège sur Facebook
04-02-2012 à 10:59 - 0 commentaire(s)
INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.
Arnaque aux logements
04-02-2012 à 10:53 - 0 commentaire(s)
INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.
Une conférence téléphonique du FBI piratée par des Anonymous
04-02-2012 à 10:21 - 1 commentaire(s)
INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.
La Ville de Chambéry corrige une fuite de données
04-02-2012 à 10:05 - 1 commentaire(s)
INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.
Sur le même thème : HaideD
L´Agence Spatiale Européenne piratée
INFO ZATAZ - Des serveurs de l´Agence Spatiale Européenne piratés. Mots de passe, root, emails, ftp diffusés sur la toile.
HaideD : les tendances 2010 - P2
TOP 20 des secteurs les plus contactées par un HaideD en 2010
HaideD : les tendances 2010
Rapport sur les alertes diffusées par ZATAZ.COM en 2010. 1 589 alertes et près de 500 millions de données collectables.
Il se venge d´un huissier à coup de DDoS
Un pirate informatique écope de 2 ans de prison pour avoir occasionné plus de 19 millions d´euros de dégâts.
Un site de l´ONU sauvé des pirates
Exclusif - Le site dédié à la paix dans le monde de l´ONU sauvé des pirates informatiques.
Médecins Sans Frontières sauvé des pirates
Exclusif - Une faille importante corrigée sur le site Internet de Médecins Sans Frontières.
Le site de la 29e fête de la musique a eu chaud
Exclusif - Le login et le mot de passe du site Internet de la 29e Fête de la Musique était accessible sur l´espace officiel numérique de la festivité.
La Chaîne SyFy corrige plusieurs failles
Plusieurs vulnérabilités informatiques graves corrigées par le site de la chaîne satellite SyFy.
Vos réactions ( 0 )
Réagissez à ce contenu
Réagir
- Ca faille chez vous ?
- Vulnérabilité sur le site du PMU
- 0day Adobe Flash CVE-2011-0611 exploité sur I...
- Vulnérabilité VideoLAN VLC
- 0day Windows Thumbnails
- XSS persistant pour Wordpress 3.0.4
- RFU pour CubeCart 3.0.0
- LFI pour Joomla Jotloader 2.2.1
- RFU pour Serendipity 1.5.4
- LFI pour Joomla com_xgallery
Labs ZATAZ
CVE-2011-3230 Apple Safari file:// Arbitrary Code Execution Metasploit Demo
Timeline : Vulnérabilité découverte par Aaron Sigel Publication coordonnée de la vulnérabilité le 12-10-2011 PoC Metasploit fournit le 16-10-2011 PoC fournit par : Aaron Sigel sinn3r Référence(s) : CVE-2011-3230 HT5000 Version(s) affectée(s) : Safari 5.1 pour Mac OS X v10.6.8 Sa [...]
Modules Metasploit Auxiliaires MySQL
Metasploit fournit des modules auxiliaires pour la base de données MySQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes S [...]
Modules Metasploit Auxiliaires PostgreSQL
Metasploit fournit des modules auxiliaires pour la base de données PostgreSQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes SQL et li [...]
CVE-2011-0807 : Sun/Oracle GlassFish Server Authenticated Code Execution Metasploit Demo
Timeline : Vulnérabilité découverte par Jason Bowes et soumise à ZDI Notification initiale de ZDI vers le fournisseur le 23-09-20102 Publication coordonnée de la vulnérabilité le 19-04-2011 PoC Metasploit fournit le 04-08-2011 PoC fournit par : juan vazque [...]
- Des jeux en ligne pour enfants attendrissants...
- Le virus Morto nous prépare-t-il une saucisse...
- Comment assurer la protection adéquate de vot...
- Stuxnet II, une nouvelle STARS est née ?
- Fuite de courriels... triste habitude du web
- Java pas fort dans votre navigateur
- La décennie du cybercrime
- Les malwares 2011, plus complexes
- Actus juridiques web du mois de février 2011
- HaideD : les tendances 2010 - P4
- Le site de SebSauvage bloqué par le gouvernem...
- Création de site web optimisé pour le référen...
- Après google+, le nouveau concurrent de Faceb...
- Télécharger toutes les versions de Mozilla Fi...
- Retrouver la clé d'installation de Windows 7...
- La tablette Kindle d'Amazon enfin en françai...
- A Eric Seguinard
- Flash 10.1, enfin l'accélération matérielle
- Opera, le navigateur qui a du mal
- Paiement des amendes sur Internet, gare aux a...
