Virus

 

ZATAZ Protocole d'alerte

Publié le 15-07-2012 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal


Pub : Tous les logiciels firewall gratuits disponibles sur Internet


Note des lecteurs: 3.1/5

ZATAZ.COM, des "enquêtes exemplaires et une action d'alerte irréprochable"
17ème Chambre correctionnel du TGI de Paris (07 juillet 2009)

Comment ZATAZ.COM peut vous alerter d´un problème de sécurité informatique découvert sur votre site web, votre serveur, ... ? (mise à jour le 20/08/2013)

Depuis 1996, date de création de la version Internet de ZATAZ, nous proposons de l'actualité liée à l'informatique décalée. Nous traitons de sécurité informatique, hackers, pirates, virus, vie privée sur la toile pour le grand public. Le fondateur du site est journaliste professionnel, pas un informaticien. Ce qui ne l'empêche pas de savoir de quoi il parle ou de faire appel à des professionnels pur jus. Depuis la naissance de ZATAZ.COM, près de 150.000 actualités composent le webzine (Brèves, articles, interviews, reportages, ...). Des supports numériques comme zatazweb.tv et datasecuritybreach.fr viennent renforcer les actions d'alertes mises en place par Damien Bancal, fondateur de ZATAZ.

ZATAZ.COM a pu aider, via le protocole d'alerte, près de 41.000 sociétés (au 20/08/2013), privées et publiques, associations, ... Une aide visant à avertir d'une faille, d'une vulnérabilité, d'une fuite de données (Adresses eMails, bancaires, dossiers privés, ...).

Nous avons baptisé cette spécificité de ZATAZ.COM, les HaideD. De la prévention et alertes afin d'avertir d'un potentiel et gênant piratage informatique. [Quelques exemples]. Les remerciements sont TRES rares, mais ceux existants sont marquants, à l'image des huit récompenses décernées à ZATAZ.COM par Microsoft depuis 2009 et la citation (juin 2013) d'Apple, dans son Apple Web Server notifications

 

:: Les alertes

Les alertes sont tirées d'informations envoyées par des lecteurs [Sources préservées et anonymes*] ou trouvées par la rédaction de ZATAZ.COM.

Nous ne traitons que de problème de sécurité informatique mis en avant par un lien malheureux, un accès donné par un moteur de recherche, ou le site faillible lui même. JAMAIS de "Pen test" ou autres tentatives de piratages. Nous connaissons la loi, la respectons et mettons un point d'honneur à faire respecter les règles.

ZATAZ.COM ne relate jamais une alerte sans que le site faillible ne soit corrigé, sauf dans le cas ou l'entreprise n'a pas réagi à nos différentes alertes (voir ci-dessous, ndr). Dans ce cas, notre article est diffusé sans aucune possibilité, pour les lecteurs, de retrouver la faille, la vulnérabilité en question.

Les alertes sont notifiées via un Twitter dédié @protocole_zataz.

ZATAZ.COM n'est pas une entreprise, une société d'audit ou commercialisant des outils de sécurité informatique. Nos alertes sont réalisées gratuitement, bénévolement. Nous ne refusons pas les dons (via Paypal). L'argent des dons nous permet de rembourser les frais que peuvent engendrer ses alertes. (téléphone, huissier, déplacement, ...).

En 2012, nous avons perçu 475 € ! (Pour plusieurs milliers d'aides)

En 2013, nous avons reçu 430 euros.

Plus de 40.000 entreprises/associations ont été aidées en 17 ans. ZATAZ.COM a vécu un seul problème judiciaire. Une entreprise alertée, qui nous avait remercié, nous attaquait deux mois plus tard pour diffamation. Affaire que nous avons gagné !

A noter que nous éditons, chaque année, un rapport lié au Protocole d'Alerte de ZATAZ.COM baptisé "HaideD Report" : HaideD Report 2010 [lire] ; HaideD Report 2011 [lire]. Il permet de regrouper une année d'alerte sous forme de chiffres et tableaux.

 

:: L'obligation de notification

L'article 38 de l'ordonnance du 24 août 2011 intègre un article 34 bis dans la Loi n°78-17 du 6 janvier 1978 qui institut une obligation de notification en cas de violations de données personnelles (Data Security Breach). L'obligation de notification concerne les données traitées dans le cadre de la « fourniture de services de communications électroniques ouverts au public», ce incluant également les fournisseurs « prenant en charge les dispositifs de collecte de donnée et d'identification ». [En savoir plus].

 

>> Notre procédure d'alerte fonctionne ainsi :

1 - ZATAZ.COM est prévenu par un lecteur ; ou la rédaction découvre un problème. Pour nous contacter, utiliser UNIQUEMENT . N'hésitez pas à utiliser notre clé PGP (GPG) pour nous contacter de maniére sécurisée ! Télécharger ma Clé publique.

2 - Le fondateur de ZATAZ.COM (Damien Bancal et uniquement lui) vérifie l'information. Sa véracité; Son niveau de dangerosité; ... Aucune solliciation commerciale (audit, vente de produit...) n'est proposée. Seul Damien Bancal, prend contact avec les responsables des serveurs, visés par une alerte.

3 - Captures écrans (photos) et un film (capture vidéo) sont réalisés pour preuve. Des sauvegardes de preuves peuvent être effectuées à partir du cache de Google ou d'autres moteurs de recherche. Nous pouvons faire appel à Maître Dekerle, huissier de justice à Pont-à-Marcq, pour des constatations, véritable photographie juridique. Les constatations n'ont aux termes des dispositions légales qu'une valeur de simples renseignements mais les conditions dans lesquelles le constat a été établi ont un véritable caractère authentique via l'heure, le jour, la prise d'information sur la constitution des preuves.

4 - Un courriel est envoyé à l'administrateur du site via l'adresse publique qui sera trouvée sur l'espace numérique en question. Nous nous mettons dans la peau d'un internaute qui souhaite joindre un responsable et utilisons, donc, les outils qui lui sont proposés. Une alerte sur le compte Twitter @zataz officiel sera diffusée en parallèle du courriel. Elle est sous cette forme : "Protocole d'alerte @zataz n'AAA à destination du/de BBB".

AAA : le numéro de l'alerte. Ce numéro est diffusé aussi dans notre page HaideD.

BBB : le nom de l'entreprise; du CERT concerné; de l'ANSSI. 

Les alertes ne proposent JAMAIS le type de faille, son exploitation. Ces données sont transmises uniquement par téléphone/courriel aux responsables de l'entreprise/Informatique.

Les alertes sont notifiées via un Twitter dédié @protocole_zataz.

5 - Au bout de 7 jours sans réponse, Damien Bancal et uniquement lui, via une adresse életronique identifiable (via sa signature numérique et sa clé PGP publique), utilisera ses ressources de journaliste pour joindre le service presse et le responsable du site touché par la fuite. Ce courriel est baptisé "Alerte ZATAZ - N'XXXX - Nom du site alerté -".

6 - Une seconde alerte sera lancée au bout de 8 jours via le compte @protocole_zataz.

7 - L'HaideD ciblé est automatiquement couplé à la CNIL, ainsi qu'aux différents CERT.

8 - Pour les sites étatiques (Ministères, administration, ...) nous contactons le CERT A et l'ANSSI.

9 - Aucune réponse du site contacté au bout de 11 jours ? Nous écrivons un article sur la fuite en question dans la condition ou l'écrit ne mettra pas en danger le site touché par la fuite et surtout les personnes contenues dans cette fuite. Nous considérons qu'attendre trop longtemps sans alerter l'opinion publique met en danger les personnes contenues dans les données non sécurisés. Les pirates sont de plus en plus rapide. ZATAZ.COM souhaite leur couper l'herbe sous le pied le plus rapidement possible. Il nous est possible d'écrire un article au moment de l'alerte. Dans ce cas, la rédaction a constaté une exploitation, par des pirates, de la dite fuite/faille/...

10 - La correction est effectuée. La rédaction décidera si, oui ou non, un article est utile pour les lecteurs. En gros, si l'entreprise a laissé des informations sensibles (données bancaires, ...) appartenant à ses clients, il est de notre devoir d'alerter les clients. Les entreprises ont UNE OBLIGATION, en 2012, d'alerter leurs membres/clients/abonnés en cas de fuite de données.

11 - ZATAZ.COM ne réclame AUCUNE contre-partie (argent, cadeau, ...). Il est cependant possible (et agréable) de nous faire un don [Voir l'espace Paypal dédié]. L'argent des dons nous permet de payer les frais de fonctionnement de notre protocole d'alerte (téléphone, huissier, ...).

Voici un courriel reçu de la Fédération Française Handisport. Il exprime, clairement, le sérieux de nos alertes :

"Monsieur,

Nous avons été informés que vous aviez constaté des défaillances au niveau de notre site internet, avec des accès à certaines bases SQL notamment. Vous avez eu la gentillesse d’alerter certains membres de la fédération, toutefois ces derniers, peu spécialistes en informatique, n’ont pas mesuré l’importance de votre avertissement initial, je vous prie de nous en excuser.

Notre responsable du développement informatique et notre prestataire en charge de la maintenance de notre parc sont désormais informés pour procéder au plus vite aux corrections nécessaires.

Je tenais à vous remercier pour votre vigilance, m’excuser à nouveau du manque de réactivité à votre première alerte, nos moyens restant limités avec une petite équipe !

A l’approche des Jeux Olympiques et pour le développement du sport nous avons besoin d’outils fiables et conformes, et vous y avez ainsi contribué. Le nécessaire est en cours dans les meilleurs délais.

Avec mes remerciements,

Cordialement"

 

*Usage, identification et vérification des sources
La crédibilité de la presse dépend de sa transparence. Le recours à une source anonyme pour révéler une information ne doit donc être utilisé qu'en une situation tout à fait exceptionnelle, lorsqu'il n'est pas possible par aucun autre moyen de diffuser une information jugée fiable et essentielle. Choisir d'accorder l'anonymat à une source ne se fait pas sans régle. ZATAZ.COM doit s'assurer de la fiabilité de cette source. Vérifier l'authenticité de l'information obtenue.

ZATAZ.COM a, depuis sa création, comme engagement fondamental de livrer une information sûre et vérifiée, mais dans la plus grande transparence. L'anonymat à une source ne se fait pas sur une base automatique. On ne devrait pas non plus l'offrir comme monnaie d'échange à une information qui ne mérite pas un tel traitement. Un journaliste est, en cette ère d'intoxication, de plus en plus confronté à un barrage d'informations livrées par des experts dont l'intérêt justement dépend du secret. Il faut donc se prémunir contre cette forme de manipulation en discernant avec rigueur les impératifs pour lesquels l'anonymat peut être accordé.

Lorsque l'information livrée par une source est jugée d'intérêt public, il arrive que la protection de l'anonymat de la source réponde à un impératif évident. Si la source refuse de se confier publiquement pour éviter des menaces réelles ou appréhendées à sa sécurité physique, des menaces de représailles, la menace de poursuites légales ou la menace de perdre son emploi. Dans ces cas, ZATAZ.COM lui accordera l'anonymat.

 

Conseiller cet article RSS ZATAZ Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur del.icio.us

Derniers contenus

Fuite de données d'auditeurs de France Info

29-04-2014 à 12:55 - 0 commentaire(s)

Ip, mail et système informatique des auditeurs web de France Info accessibles aux pirates.

Problème de sécurité pour M6 Boutique

29-04-2014 à 12:10 - 0 commentaire(s)

Un bug sur le site web de M6 Boutique pourrait permettre de piéger les clients de cet espace de télé achat.

Le contrôleur Européen de la Protection des Données a des fuites

29-04-2014 à 11:50 - 0 commentaire(s)

Le site Internet du Gardien Européen de la protection des données personnelles a des problèmes avec sa propre sécurité informatique.

Watch Dogs : plusieurs failles corrigées pour Chicago

28-04-2014 à 14:19 - 0 commentaire(s)

Plusieurs importants sites de la Ville de Chicago corrigés via le protocole d'alerte de zataz.

66 pays visés par un code malveillant dédié aux SMS

28-04-2014 à 11:51 - 0 commentaire(s)

SMS Android OS FakeInst, un logiciel malveillant qui utilise vos SMS pour détourner de l'argent.

Anonymous lance le projet AirChat

28-04-2014 à 11:40 - 0 commentaire(s)

AirChat, un projet Anonymous qui souhaite permettre la diffusion de données numériques par la bande FM.

Google rembourse des utilisateurs d'Android

28-04-2014 à 11:16 - 0 commentaire(s)

Un virus informatique cachée dans une application Android ? Google s'excuse et rembourse les internautes piégés.

Piratage d'une Université pour fabriquer des bitcoins

28-04-2014 à 11:02 - 0 commentaire(s)

Des pirates informatiques ont compromis cinq serveurs de l'Université de l'Iowa pour installer une fabrique de bitcoins.

Sur le même thème : Réseau - Sécurité

Fuite de données d'auditeurs de France Info

Ip, mail et système informatique des auditeurs web de France Info accessibles aux pirates.

Problème de sécurité pour M6 Boutique

Un bug sur le site web de M6 Boutique pourrait permettre de piéger les clients de cet espace de télé achat.

Le contrôleur Européen de la Protection des Données a des fuites

Le site Internet du Gardien Européen de la protection des données personnelles a des problèmes avec sa propre sécurité informatique.

Watch Dogs : plusieurs failles corrigées pour Chicago

Plusieurs importants sites de la Ville de Chicago corrigés via le protocole d'alerte de zataz.

Fuite de données possible via une faille Adobe Reader Android

Un PDF piégé pourrait compromettre vos données sauvegardées dans votre tablette ou smartphone sous Android.

Piratage de données bancaires chez LaCie

LaCie, fabricant de disques durs et systèmes de stockages numériques infiltré pendant 1 an... avant de s'en appercevoir.

La nouvelle secrétaire d'Etat au numérique a un site web aware

Axelle Lemaire, la toute fraîche nouvelle secrétaire d'Etat au numérique a du boulot sur la planche... en débutant par son site web.

Faille SSL, et si la NSA était au courant !

Yahoo!, Oracle, et des centaines de sites web faillibles à une vulnérabilité visant OpenSSL.

Rechercher dans les Alertes

Mots clés
  sur ZATAZ sur le web

 


Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA