Faut aider … ou pas ?

Comme vous le savez peut-être, depuis plus de 20 ans d’existence, ZATAZ aide bénévolement les entreprises (privées ou publiques), associations francophones … en cas de fuite de données. Et vous ? Que feriez-vous en cas de découverte ? Nous avons posé la question sur Twitter !

Depuis plus de 20 ans, ZATAZ aide bénévolement les entreprises, associations, particuliers face à une fuite de données dont ils seraient responsables via Le Protocole ZATAZ. Plus de 70 000 cas depuis la création de mon blog. 70% des alertes sont communiquées par des internautes anonymes (79%). Un courriel reçu mardi 11 juin 2019 m’a donné une idée de question à lancer sur Twitter. Le mail reçu concernait le parti politique d’extrême droite « Le Rassemblement National« .

Une faille « grave ». Elle pouvait permettre, peut-être, d’accéder aux données internes du groupe politique. Ceci n’est qu’une supputation. Je n’exploite aucune faille reçue pour en connaitre la dangerosité. Pourquoi ? L’éthique et la loi l’interdisent. Des détails me permettent de me dire qu’une exploitation est envisageable.

https://twitter.com/Damien_Bancal/status/1139130031085621248

Du SE, un sondage, des réponses

La question sur Twitter avait donc pour mission de connaitre les avis des internautes intéressés par le sujet. « Bon, j’ai un problème ! J’ai une faille sur le site web d’un parti politique FR qui adore se victimiser. Les alerter, c’est protéger les citoyens Français qui y sont inscrits… mais ne vont-ils par hurler au loup comme ils aiment le faire ? Votre avis ?« .

La question se voulait volontairement vague. Les réponses 2 et 3 étaient très proches. Le vocabulaire choisi permettait de graduer l’envie d’aider.

La question trois étant plus agressive que la seconde. L’addition des mots « parti politique FR« , « victimiser« , « hurler au loup » et la question trois auront surtout laissé parler des internautes manipulés par la question. Un exemple de social engineering par le sondage !

Aider, avant tout !

La question ne donnait pas le nom de la « victime ». D’abord pour ne pas fournir de piste directe sur le site impacté par la faille; ensuite, permettre la discussion.

Un sondage peaufinait donc cette question ouverte : 1 – Alerter (avec 1 R 🙂 ; 2 – Ne pas alerter ; 3 – Qu’ils se démerdent.

24 heures après le lancement de ce sondage: 1 111 votants et 36 réponses.

55% des votant étaient pour « aider » le politique. « Peu importe. Que ce soit un e-commerce, un réseau social ou un parti politique, il faut les alerter. Il ne faut pas faire preuve de partialité parce que c’est un certain parti politique… » confie Nacks. « La sécurité avant tout » motive JusteGeek. Dans le reste du sondage : 3% n’aident pas; 42% invitent le parti politique à se démerder. Un chiffre qui a inquiété plusieurs professionnels du sujet, comme Fabian Rodes « A qd même ! 1 tiers des votes actuellement en faveur du Demerden Sie Sich !« . « Quoique peuvent être leurs réactions, protéger nos concitoyens reste la principale chose à faire 🙂 » exprime Sylvadoc.

Bref, ZATAZ l’a fait, le fait et continuera de le faire : aider bénévolement. Dans le cas d’un parti politique, gardez en tête le conseil de @jujusete « Alerter l’ANSSI » ou encore d’Eric Freysinnet « Aucune hésitation dans ce cas: ssi.gouv.fr« . Et celui de Marc Rees « Données RGPD sensibles-> cnil« .

A noter que pour ce cas « Rassemblement National » comme pour les autres groupes politiques, les partis sont alertés (mais n’ont pas répondu) … tout comme l’ANSSI (qui répond dans la minute).

Vous pourrez retrouver le Protocole d’Alerte ZATAZ via les confessionnal mis en place lors de « LeHack #01 » et du « Hackfest 11 » de Quebec.

Protocole ZATAZ : 70 160 alertes au 13 juin 2019. Suivez en temps réels les alertes ici et là.
Service veille ZATAZ : 1 325 alertes au 08 juin 2019.