0899379170 code service 92829 *

Protocole alerte ZATAZ  "Des enquêtes exemplaires et une action d'alerte irréprochable" - Le juge de la 17ème Ch. Corr. du TGI de Paris (07/07/2009)

Protocole Alerte ZATAZ – Comment ZATAZ peut vous alerter d´un problème de sécurité découvert sur votre site web, votre serveur, … ? – Mise à jour le 10/02/17

Protocole alerte zataz

Le mode d’emploi du protocole

Les protocoles d’alerte en cours.

Contacter le Protocole.

P

rotocole Alerte ZATAZ – Depuis 1996, date de création de la version Internet de ZATAZ, nous proposons de l’actualité liée à l’informatique décalée. Nous traitons de sécurité, des hackers, des pirates, des virus, de la vie privée dans le numérique, sur la toile. De l’actualité pour le grand public.

Je suis journaliste professionnel, pas un informaticien. Ce qui ne m’empêche pas de savoir de quoi je parle ou de faire appel à des professionnels pur jus. Depuis la naissance de ZATAZ.COM, près de 200.000 actualités composent le webzine (Brèves, articles, interviews, reportages, …). Des supports numériques comme zatazweb.tv et datasecuritybreach.fr viennent renforcer l’information, la sensibilisation et les es actions d’alertes mises en place.

ZATAZ.COM a pu aider, via le protocole alerte ZATAZ, plus de 62.000 sociétés (au 24/01/2017), privées et publiques, associations, … Une aide visant à avertir d’une faille, d’une vulnérabilité, d’une fuite de données, d’un piratage.

J’ai baptisé cette spécificité de ZATAZ.COM, les HaideD / Protocole alerte ZATAZ. De la prévention et des alertes via le Protocole alerte ZATAZ afin d’avertir d’un potentiel et gênant piratage informatique. [Quelques exemples]. Les remerciements sont  rares, mais ceux existants sont marquants, à l’image des huit récompenses décernées à ZATAZ par Microsoft depuis 2009, la citation (juin 2013) d’Apple dans son Apple Web Server notifications. Je ne vous relate que les plus marquants à la vue des auteurs de ces remerciements.

Le mode d’emploi du protocole

Les protocoles d’alerte en cours.

L

es alertes sont tirées d’informations envoyées par des lecteurs [Sources préservées et anonymes*] ou mises à jour par la rédaction de ZATAZ.COM.

Nous ne traitons que de problème de sécurité informatique mis en avant par un lien malheureux, un accès donné par un moteur de recherche, ou le site faillible lui même. JAMAIS de « Pen test » ou autres tentatives de piratages ne sont effectués par mes soins. Je connais la loi, je la respecte et met un point d’honneur à faire respecter les règles dans le Protocole d’alerte ZATAZ.

  • Les demandes d’argent, d’article… ne sont pas acceptées – l’alerte sera refusée. Comment faire confiance en une personne qui réclame un cadeau alors qu’il annonce venir aider ?!

  • Une diffusion sur les réseaux sociaux annule le protocole d’alerte. Si un internaute se vante de sa découverte sur Twitter, Facebook, forums nous ne pouvons faire confiance en cette personne ; un tiers malveillant peu utiliser son information avant même que le Protocole alerte ZATAZ soit lancé ; l’information a pu être recopiée bêtement sur un forum, et donc utilisée par d’autres…

Je ne relate jamais une alerte sur ZATAZ où dans la presse sans que le site faillible ne soit corrigé. Dans le cas ou l’entreprise n’a pas réagi à mes différentes alertes (voir ci-dessous, ndr), je peux relayer l’alerte aux autorités compétentes, CNIL, ANSSI… où dans les rédactions pour qui je travaille. Dans ce cas, mon article est diffusé sans aucune possibilité, pour les lecteurs, de retrouver la faille, la vulnérabilité en question. Les alertes sont notifiées par courriel et uniquement via l’adresse urgent(ateu)damienbancal.fr ainsi que via le compte Twitter dédié @protocole_zataz.

Le Protocole d’alerte ZATAZ n’est pas une entreprise, une société d’audit ou commercialisant des outils de sécurité informatique. Nos alertes sont gratuites et bénévoles.

Je ne refuse pas les dons (via Paypal). L’argent récolté permet de rembourser les frais que peuvent engendrer les alertes :

2012, nous avons perçu 475 €.

2013, nous avons reçu 430 €.

2014, 750 €.

2015, 225 €.

2015, 495 €.

2016, 890 €.



 

Obligation de notification.

L

‘article 38 de l’ordonnance du 24 août 2011 intègre un article 34 bis dans la Loi n°78-17 du 6 janvier 1978 qui institut une obligation de notification en cas de violations de données personnelles (Data Security Breach). L’obligation de notification concerne les données traitées dans le cadre de la « fourniture de services de communications électroniques ouverts au public», ce incluant également les fournisseurs « prenant en charge les dispositifs de collecte de donnée et d’identification ». [En savoir plus].

La procédure du Protocole d'alerte ZATAZ

1
 ZATAZ.COM est prévenu par un lecteur ; ou la rédaction découvre un problème. Pour nous contacter, utiliser UNIQUEMENT la page dédiée. .

 ATTENTION ! Pour des questions de gestion, d'efficacité et d'image de sérieux du Protocole, les informations et les alertes diffusées par Twitter, Facebook ou via une autre adresse électronique que celle indiquée ci-dessus ne seront pas prises en compte. Les failles, fuites, ... qu'un internaute diffuse sur Twitter, Facebook... et qu'il souhaite nous communiquer ensuite ne peuvent être prise en compte par le Protocole d'alerte ZATAZ

Le fait de publier publiquement votre découverte peut permettre à des malveillants de s'en servir.

Pour nous alerter d'une fuite, faille, piratage

 Nous fournir les explications sur votre découverte (url, PoC). Bref, des éléments qui nous permettront de constater le cas échéant.

  Si vous le souhaitez, une adresse électronique pour vous joindre.

 Nous indiquer si vous souhaitez être mis en relation avec l'entreprise/association/...

 Le courriel ne proposant qu'une capture écran, demandant un article, ... ne sera pas pris en compte.

N'hésitez pas à utiliser notre clé PGP (GPG) pour nous contacter de manière sécurisée ! Télécharger ma Clé publique.

2
 Le fondateur de ZATAZ.COM (Damien Bancal et uniquement lui) vérifie l'information. Sa véracité; Son niveau de dangerosité; ... Aucune sollicitation commerciale (audit, vente de produit...) n'est proposée. Seul Damien Bancal, prend contact avec les responsables des serveurs, visés par une alerte.

3
 Captures écrans (photos) et un film (capture vidéo) sont réalisés pour preuve. Des sauvegardes de preuves peuvent être effectuées à partir du cache de Google ou d'autres moteurs de recherche. Nous pouvons faire appel à Maître Dekerle, huissier de justice à Pont-à-Marcq (59), pour des constatations, véritable photographie juridique. Les constatations d'un Protocole d'alerte ZATAZ n'ont aux termes des dispositions légales qu'une valeur de simples renseignements mais les conditions dans lesquelles le constat a été établi ont un véritable caractère authentique via l'heure, le jour, la prise d'information sur la constitution des preuves.

4
 Un courriel est envoyé à l'administrateur du site via l'adresse publique qui sera trouvée sur l'espace numérique visé par l'alerte. Je me mets dans la peau d'un internaute qui souhaite joindre un responsable et j'utilise, donc, les outils qui me sont proposés (page contact, mail, Twitter). Une alerte est doublée sur le compte Twitter @protocole_zataz. L'alerte Twitter du Protocole alerte ZATAZ est sous cette forme : "Protocole alerte @zataz #jourmoisannéeheuredumail".

Le Protocole alerte ZATAZ ne propose/divulgue JAMAIS le type de faille, son exploitation dans ce courriel. Ces données sont transmises en réponse au courriel réponse que je recevrai. Uniquement par courriel (JAMAIS par téléphone) aux responsables de l'entreprise/Informatique et uniquement via une adresse officielle (pas de gMail, ...) !

5
Pas de réponse au 1er courriel ? Au bout de 48 heures, Damien Bancal et uniquement lui, via une adresse électronique identifiable (via sa signature numérique et sa clé PGP publique), utilisera ses ressources de journaliste pour joindre le service presse et le responsable du site touché par la fuite. Ce courriel est baptisé "Alerte ZATAZ - #jourmoisannéeheureducourriel - Nom du site alerté".

6
 Une seconde alerte est lancée lors de ce second courriel sur @protocole_zataz.

7
 L'HaideD ciblé est automatiquement couplé à la CNIL [un exemple de Protocole d'alerte ZATAZ avec l'aide de la CNIL], ainsi qu'aux différents CERT et ANSSI si le cas se fait sentir. Je peux faire appel aux NTECH de la Gendarmerie Nationale dans les cas les plus graves.

8
Pour les sites étatiques (Ministères, administration, ...) nous contactons le CERT France et l'ANSSI.

9
 Aucune réponse du site contacté au bout de 3 jours ? J'écris un article sur la fuite en question dans la condition ou l'écrit ne mettra pas en danger le site touché par la fuite et surtout les personnes contenues dans cette fuite. Je considére qu'attendre trop longtemps sans alerter l'opinion publique met en danger les personnes contenues dans les données non sécurisées. Les pirates sont de plus en plus rapide. ZATAZ.COM souhaite leur couper l'herbe sous le pied le plus rapidement possible.

Il m'est possible d'écrire un article au moment de l'alerte. Dans ce cas, il s'agira d'un cas de vol de données, piratage, que j'ai pu constater et il faut rapidement alerter.

10
La correction est effectuée. Je déciderai si, oui ou non, un article est utile pour les lecteurs. En gros, si l'entreprise a laissé des informations sensibles (données bancaires, ...) appartenant à ses clients, il est de mon devoir d'alerter les clients. Les entreprises ont UNE OBLIGATION, depuis 2012, d'alerter leurs membres/clients/abonnés en cas de fuite de données. A partir de mai 2018, les entreprises risqueront amende (jusqu'à 10% de leur CA) et obligation d'alerter leurs clients par un recommandé avec accusé de réception dans les 72 heures.

 

Le mode d’emploi du protocole

Les protocoles d’alerte en cours.

Remonter haut de la page

Z

ATAZ.COM ne réclame AUCUNE contre-partie (argent, cadeau, …). Il est cependant possible (et agréable) de faire un don pour soutenir le Protocole d’alerte ZATAZ [Voir l’espace Paypal dédié]. L’argent des dons nous permet de payer les frais de fonctionnement de notre protocole d’alerte. Voici un courriel reçu de la Fédération Française Handisport. Il exprime, clairement, le sérieux de nos alertes :

Monsieur,

Nous avons été informés que vous aviez constaté des défaillances au niveau de notre site internet, avec des accès à certaines bases SQL notamment. Vous avez eu la gentillesse d’alerter certains membres de la fédération, toutefois ces derniers, peu spécialistes en informatique, n’ont pas mesuré l’importance de votre avertissement initial, je vous prie de nous en excuser. Notre responsable du développement informatique et notre prestataire en charge de la maintenance de notre parc sont désormais informés pour procéder au plus vite aux corrections nécessaires. Je tenais à vous remercier pour votre vigilance, m’excuser à nouveau du manque de réactivité à votre première alerte, nos moyens restant limités avec une petite équipe ! A l’approche des Jeux Olympiques et pour le développement du sport nous avons besoin d’outils fiables et conformes, et vous y avez ainsi contribué. Le nécessaire est en cours dans les meilleurs délais.  Avec mes remerciements.

*Usage, identification et vérification des sources pour le Protocole alerte ZATAZ
La crédibilité de la presse dépend de sa transparence. Le recours à une source anonyme pour révéler une information ne doit donc être utilisé qu’en une situation tout à fait exceptionnelle, lorsqu’il n’est pas possible par aucun autre moyen de diffuser une information jugée fiable et essentielle. Choisir d’accorder l’anonymat à une source ne se fait pas sans règle. ZATAZ.COM doit s’assurer de la fiabilité de cette source. Vérifier l’authenticité de l’information obtenue. ZATAZ.COM a, depuis sa création, comme engagement fondamental de livrer une information sûre et vérifiée, mais dans la plus grande transparence. L’anonymat à une source ne se fait pas sur une base automatique. On ne devrait pas non plus l’offrir comme monnaie d’échange à une information qui ne mérite pas un tel traitement. Un journaliste est, en cette ère d’intoxication, de plus en plus confronté à un barrage d’informations livrées par des experts dont l’intérêt justement dépend du secret. Il faut donc se prémunir contre cette forme de manipulation en discernant avec rigueur les impératifs pour lesquels l’anonymat peut être accordé. Lorsque l’information livrée par une source est jugée d’intérêt public, il arrive que la protection de l’anonymat de la source réponde à un impératif évident. Si la source refuse de se confier publiquement pour éviter des menaces réelles ou appréhendées à sa sécurité physique, des menaces de représailles, la menace de poursuites légales ou la menace de perdre son emploi. Dans ces cas, ZATAZ.COM lui accordera l’anonymat. 

Remonter en haut de la page

Faille corrigée pour le plugin WordPress YITH WooCommerce PDF

Vous avez une boutique sous WordPress ? Vous utilisez le plugin YITH WooCommerce PDF ? Un conseil, mettez à jour rapidement ce dernier. Fuite corrigée pour le plugin WordPress YITH WooCommerce PDF ! Il y a quelques jours, j’alertais via un protocole d’alerte ZATAZ une société basée en Provence...