Depuis septembre 2016, le protocole ZATAZ tente de faire réagir la WWF face à des failles ouvertes aux pirates. Sept mois plus tard, le danger est encore plus présent.

Mon habitude n’est pas de parler d’un protocole d’alerte zataz avant sa correction. De relater des problèmes visant un site Internet, une entreprise avant que la fuite, la faille, ne soient corrigées. Sauf que pour ce cas, celui concernant la WWF [World Wide Fund for Nature], le protocole ZATAZ a 7 mois et il n’a toujours pas été pris en compte.

Ce n’est pas faute d’avoir tout essayé. Appels téléphoniques, mails, twitter. Les failles sont nombreuses, certaines peuvent donner accès à des bases de données. LFI, SQL Injection, téléchargement d’un fichier dans le serveur !

@WWF_Suisse @SwitHak ha OK ! Pour des questions de sécurité je ne peux en parler sur Twitter. Merci de m'écrire sur [email protected]

— Damien Bancal (@Damien_Bancal) October 12, 2016

J’ai décidé d’en parler ce 22 mars 2017 car je viens de lire, dans un espace du black market, que des informations sur la WWF étaient à vendre. Rien ne me dis que cela concerne l’une des failles que je tente de faire corriger. Mais dans le doute !

Je ne donnerai évidement pas ici les adresses des sites concernés. Si un membre de la WWF voulait bien lacher le panda et prendre sa plume pour m’envoyer une missive, il en va de l’intégrité 2.0 de l’association.

Le WWF [Fonds mondial pour la nature] est une organisation non gouvernementale [ONG] internationale dédiée à la protection de l’environnement