Abracadabra et ta photo apparaîtra

Posted On 22 Juil 2019

Le site web du magicien vedette Eric Antoine a mis 5 ans avant de corriger une fuite de photos. Des pirates avaient trouvé le moyen de s’installer dans le portail de l’artiste.

Pour les fidèles de ZATAZ, souvenez-vous. Nous sommes alors en 2017. Le Protocole ZATAZ [70 176 alertes bénévoles au 22/07/2019] alerte le gestionnaire du site web du magicien vedette Eric Antoine. Pour ceux qui ne connaisse pas ce doux génie de la magie, Eric Antoine un artiste de « music hall » spécialisé dans la magie comique et totalement déjantée.

Bonjour @eric_antoine ! Un troisième courriel a été communiqué à vos équipes via @damien_bancal. #merci @zataz #cybersécurité #fic2017

— Protocole_ZATAZ (@Protocole_ZATAZ) January 23, 2017

Comme le veut le protocole ZATAZ, une fois les responsables d’un site alerté, nous ne cherchons pas à savoir si la correction a été effectuée. Aux webmasteurs, administrateurs… de prendre leur responsabilité face à une fuite de données. Un message de l’artiste sur Twitter m’a rappelé le problème croisé en 2014 et 2017. Eric Antoine communiquait sur l’affaire FaceApp « J’ai l’impression que beaucoup se sont fait voler leurs visages …« . Je suis donc retourné sur son site !

Fuite depuis 2014

Pour la petite histoire, mes enfants (et moi) sommes fans de cet artiste. En 2014, l’une de mes filles souhaite visiter l’espace web. Une option, baptisée « devient Bernard » était proposée. Elle permettait de prendre la place d’un des personnages de l’artiste sur scène. « Mon expérience dans le sujet des fuites de données me rend plus parano que la moyenne », ai-je confié au comédien que j’ai pu joindre mi juillet 2019. Surtout face aux applications web/smartphone. »

A l’époque, ma fille souhaitait participer et devenir « Bernard ». Pour cela, une application web proposait de recevoir une photo. L’application web plaçait le visage sous une cagoule et offrait la possibilité de télécharger le montage. Sauf que la photographie d’origine était sauvegardée sur le serveur du site web du magicien.

L’URL de l’image s’affichait dans le code source du portail web. Il suffisait de le recopier pour tomber sur la photo. Autant dire qu’un coup de recherche Google et il était possible d’intercepter les autres photographies de participants, adultes comme mineurs. Plutôt gênant pour la confidentialité. Vous pensiez être sous une cagoule et votre véritable visage était accessible en deux clics de souris.

2017

En 2017, suite à un article de ZATAZ, la lecture des dossiers contenant les photos sera bloquée. Oui, les dossiers étaient aussi ouverts aux quatre vents. Un problème qui persiste encore dans des captures effectuées par des moteurs de recherche, tel que Archive.org.

Bref, une fuite de photo tombe sous le coupe du RGPD, le Règlement Général des Données Personnelles… sauf qu’il va être compliqué pour la maison de production d’alerter. Les utilisateurs « Bernard » n’avait pas besoin de fournir leur adresse mail.

Un Magicien et des pirates, partout

Le second problème était de type « pirate ». Des malveillants s’étaient rendus compte qu’il était possible d’injecter autre chose qu’une image. Bilan, des pages pirates retrouvées dans le serveur du magicien. Des « deface » (barbouillage d’une page d’un site web) ou encore des pages de phishing comme celle visant les utilisateurs de Facebook.

Bonsoir @eric_antoine ! Pouvez-vous me contacter, c'est TRES urgent ! #merci #cybersecurite #rgpd @CNIL

— Damien Bancal (@Damien_Bancal) July 18, 2019

Bref, mon idée de re-tester Bernard va me permettre de relancer un second protocole d’alerte, deux ans après le second, cinq ans après le premier. Cette fois, c’est l’artiste lui même qui va me répondre en moins de 2 heures.

Corrigé en quelques heures, plus de fichiers malveillants, ni de sauvegardes de photos en accès libre. Adieu Bernard et vive la magie !

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.