Actualité

 

Fin du périple judiciaire

Publié le 22-07-2009 à 07:22:13 dans le thème Lois - Justice

Pays : France - Auteur : La rédaction


Pub : Découvrez les Labs ZATAZ


Note des lecteurs: 2.9/5

Apfrès avoir aidé une société à protéger ses clients, le fondateur de ZATAZ.COM se retrouvait devant la justice. La 17ème Chambre correctionnel a rendu son verdict. ZATAZ.COM a gagné et mis en avant par le trbunal.

Petit rappel des faits. Tout a débuté fin septembre 2008. Un lecteur [son anonymat est resté et restera de mise... même sous la menace, NDR] nous informait d'une découverte qu'il trouvait très étonnante. Via un moteur de recherche public et accessible sur la toile, du même type que Google, mais dédié au FTP, le lecteur s'était aperçu qu'une société internationale, leader mondiale dans son secteur, avait été référencée par le spider, le robot référenceur du moteur de recherche en question. Le moteur de recherche avait référencé un accès au disque dur de cette société, ainsi que des milliers d'informations toutes aussi sensibles les unes que les autres.

Le moteur de recherche avait aspiré et référencé le répertoire, le Directroy, l'arborescence d'un espace FTP en accès libre. Un livre ouvert qui n'aurait jamais du l'être. Comme il en est coutume, nous informons l'entreprise via notre procédure d'alerte. Le "problème" sera corrigé rapidement. Cinq jours plus tard, nous recevrons d'ailleurs un courriel, signé par une employée de l'entreprise : "Merci de nous avoir signalé cette sérieuse anomalie, cela a permis à notre informaticien de corriger immédiatement."

Assurés que cette porte-ouverte a bien été corrigée, nous écrivons un article sur le sujet. Nous ne donnerons ni le lieu, ni comment les données étaient accessibles. Nous ne fournirons pas non plus l'adresse du moteur de recherche. Bref, le stricte minimum qu'impose les 5W d'une brève.

24 décembre, 10 heures du matin. Un huissier sonne à notre porte. L'entreprise demande que soit retiré l'article qu'elle considère mensongé et diffamatoire. Elle nous invite, dans lafoulée, à passer devant le juge, le 19 janvier, pour faire valoir ses droits sur ce retrait. Une semaine plus tard, second huissier. Pour bien enfoncer le clou, cette même société nous assigne devant la 17ème Chambre correctionnelle (Chambre de la presse). Cette fois, pour nous demander 15.000 euros de dommages et intérêts pour les propos "diffamatoires" de notre article. Voici l'article. [Nous avons retiré le nom de la société, NDR]

"Données bancaires en accès libre chez XXXX France

Le premier producteur mondial XXXXX avait un disque dur connecté sur Internet bourré de données bancaires et informations sensibles.

Le moins que l'on puisse dire est que de l'huile aurait pu couler encore longtemps sous les ponts de la société XXX si la rédaction de ZATAZ.COM n'était pas intervenue. Qui est XXX ? Rien d'autre que le premier producteur mondial XXXX, une huile très à la mode. Une société qui affiche en 2005 un chiffre d’affaire de 27 millions d’euros, et de 32 millions d'euros en 2006.

Sésame, ouvre toi... sésame, quel sésame ?

Un internaute, nous l'appellerons Hugo, a découvert sur la toile un serveur non protégé appartenant à cette société. Un espace qui, d'après nos constations, devait servir aux stockages des données sensibles de XXX France.

Nous avons pu découvrir que des milliers de données bancaires datant de 2007 et 2008 étaient disponible d'un simple clic de souris, via un navigateur Internet, sans aucune restriction, ni mot de passe. Un serveur d'autant plus étonnant, il contenait aussi l'ensemble des données comptable de cette entreprise internationale, les exportations, le marketing et les statistiques annuelles.

Bref, une manne providentielle pour la concurrence. Contactée par la rédaction de ZATAZ.COM, notre appel téléphonique aura permis de faire fermer ce serveur.

Nous ne pouvons dire depuis combien de temps cet espace était ouvert de la sorte. Chose est certaine, cela durait depuis plus de 7 jours. Il aura fallu plus d'une semaine à cette société pour réagir. Nos deux premiers courriels étant restés lettres mortes. Notre appel téléphonique, directement dans les alcôves de la direction aura permis une action efficace.

Les données bancaires ont très bien pu tomber entre de très mauvaises mains. Des comptes bancaires, par milliers, de clients de la Société Générale, LCL, Crédit Agricole, BNP Paribas, La banque Postale, AXA, CIC, ..."

Nous terminions ce papier par des textes de la CNIL traitant de la sauvegarde des données de clients, ...

12.000 euros de frais plus tard !

Le 07 juillet, la 17ème Chambre correctionnel (Chambre de la Presse) du TGI de Paris a rendu son verdict. Lors de l'audience publique, qui s'est déroulée en juin, Madame la Procureur de la République avait indiqué publiquement, lors de l'audience : "Une enquête exemplaire et une action d'alerte irréprochable". Seul gros bémol pour le fondateur de ZATAZ.COM, son offre de preuve. La partie civile faisait prévaloir que les preuves de ZATAZ étaient... irrecevables. Pourquoi ? L'huissier en charge de remettre cette offre de preuve à la partie civile s'était trompé d'adresse (sic!). Oui, oui, vous avez bien lu. Des preuves mises à la poubelle en raison d'une erreur postale ! Au lieu de la remettre à l'avocat de la partie civile, l'huissier a été la transmettre à l'entreprise elle même. Bilan, les preuves de ZATAZ ne servaient plus à rien !

Lors de l'audience, cependant, le juge et le procureur, ne se sont pas privés de questions. Le 07 juillet, le verdict est tombé, extrait : " (...) Dans un contre rapport, dressé, à la demande du prévenu, XXX, expert inscrit sur la liste de la cour d'appel de Montpellier, estime que les connexions (...), qui n'étaient plus autorisées lors des constations effectuées par un huissier le 23 octobre, sur la base desquelles avait travaillé le premier expert, l'était en revanche au moment des accès litigieux, ce qui constituait "une prise de risque inutile" et "la démonstration de la légèreté du comportement [de la société] relatif à la sécurité informatique de son serveur".

En tout état de cause, il convient de relever :

- qu'à la seule lecture des termes des rapports soumis par la partie civile, il apparait que des accès frauduleux, c'est-à-dire non autorisés, avaient pu être réalisés sur un serveur contenant des données personnelles, et que ces accès réalisés sur un serveur contenant des données personnelles, et que ces accès résultaient d'une faille de sécurité, ce qui est précisément ce que dénonçait Damien BANCAL,

- que l'analyse du contre-rapport produit par ce dernier est corroborée par la teneur de la réponse apportée par la société à l'avertissement qu'il lui avait adressé, qui reconnaissait une "sérieuse anomalie" et remerciait celui qui avait permis qu'elle soit immédiatement corrigée.

Damien Bancal avait donc en sa possession, au moment où il a mis en ligne le texte litigieux, les informations qui le corroboraient, informations que les investigations techniques réalisées postérieurement sont venus confirmer.

Il a en rendu compte sur un site spécialisé en assortissant son propos du rappel utile des règles légales en la matière et sans outrepasser les limites de la prudence dans l'expression.

Dans ces conditions, il sera admis au bénéfice de la bonne foi et renvoyé des fins de la poursuite. (...)"

Bref, voilà une année assez particulière qui se termine bien. L'entreprise a été déboutée. La justice a estimé que le travail effectué par le fondateur de ZATAZ avait été exemplaire. Il aurait été de bon ton de permettre le remboursement des frais de justice. Ce que le tribunal n'a pas estimé utile. D'un autre côté, le verdict est largement suffisant. Comme nous l'indiquait un ami "Le prix de la vérité est élevé. Ceci dit, elle te le rend au centuple..."

Vous avez été près de 2.000 lecteurs à nous avoir envoyé un don via Paypal. En quelques jours nous avons pu récolter 7.500 euros de dons qui ont permis à ZATAZ de passer ce mauvais cap. D'importantes sociétés nous ont apporté leurs soutiens (morale et/ou financiers) et vous avez été plus de 50.000 interautes à nous envoyer un courriel de soutien. Merci aussi aux nombreux cofnfrères d'avoir suivi le sujet (plus de 190 articles/reportages/Itw).

ZATAZ.COM est un webzine d'actualité. Nous continuerons de vous informer, proprement, sans mettre en danger nos sources, nos lecteurs ou les entreprises qui pourraient être concernés par notre protocole d'alerte et nos articles. Cette petite "sauterie" judiciaire nous aura coûté exactement 12 003 euros et 56 cents et des fêtes de fin d'année.

Vous pouvez continuer a proposer un don à ZATAZ.COM [ICI]. L'argent récolté permet de payer les constations d'huissier que nous effectuons, depuis, à chaque découverte de fuite de ce type. Une constatation Huissier coûte 175 euros pièce. Le prix de la preuve !

 

Conseiller cet article RSS ZATAZ Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur del.icio.us

Derniers contenus

Fuite de données d'auditeurs de France Info

29-04-2014 à 12:55 - 0 commentaire(s)

Ip, mail et système informatique des auditeurs web de France Info accessibles aux pirates.

Problème de sécurité pour M6 Boutique

29-04-2014 à 12:10 - 0 commentaire(s)

Un bug sur le site web de M6 Boutique pourrait permettre de piéger les clients de cet espace de télé achat.

Le contrôleur Européen de la Protection des Données a des fuites

29-04-2014 à 11:50 - 0 commentaire(s)

Le site Internet du Gardien Européen de la protection des données personnelles a des problèmes avec sa propre sécurité informatique.

Watch Dogs : plusieurs failles corrigées pour Chicago

28-04-2014 à 14:19 - 0 commentaire(s)

Plusieurs importants sites de la Ville de Chicago corrigés via le protocole d'alerte de zataz.

66 pays visés par un code malveillant dédié aux SMS

28-04-2014 à 11:51 - 0 commentaire(s)

SMS Android OS FakeInst, un logiciel malveillant qui utilise vos SMS pour détourner de l'argent.

Anonymous lance le projet AirChat

28-04-2014 à 11:40 - 0 commentaire(s)

AirChat, un projet Anonymous qui souhaite permettre la diffusion de données numériques par la bande FM.

Google rembourse des utilisateurs d'Android

28-04-2014 à 11:16 - 0 commentaire(s)

Un virus informatique cachée dans une application Android ? Google s'excuse et rembourse les internautes piégés.

Piratage d'une Université pour fabriquer des bitcoins

28-04-2014 à 11:02 - 0 commentaire(s)

Des pirates informatiques ont compromis cinq serveurs de l'Université de l'Iowa pour installer une fabrique de bitcoins.

Sur le même thème : Lois - Justice

Le blocage de site web validé par la Cour Européenne

L'Union Européenne autorise le blocage de sites Internet diffuseurs de données contrefaites.

Un pirate Marocain arrêté en Thaïlande

Un pirate informatique, auteur présumé de plusieurs hacks dans des banques européennes, arrêté en Thaïlande. La Suisse demande sa tête.

La copie privée : Digital Europe n'a pas (encore) tué la culture européenne

La commission des affaires juridiques du Parlement européen a finalement adopté le rapport Castex à une large majorité.

Pirate Chinois arrêté via coopération Sino Américaine

La police chinoise arrête un pirate informatique, membre présumé d'un groupe international avec l'aide de la police Roumaine, Indienne et du FBI.

Plainte contre le pirate du site de Dieudonné

Une plainte pour piratage informatique déposée par l'humoriste polémiste Dieudonné.

Non, on ne peut pas auditer un site à la sauvage

Tester la sécurité d'un site Internet que l'on visite n'est pas autorisé sans l'accord des propriétaires.

4 ans de prison pour un mafieux de la carte bancaire piratée

Un pirate informatique bulgare, spécialiste de la carte bancaire, écope de 4 ans de prison dans une geôle française.

A la rencontre des cybergendarmes du Pas-de-Calais

Les technologies employées par les pirates informatiques évoluent. Les cybergendarmes tentent de s'adapter aux flots de données que déverse le numérique. Réussissent-ils ? Rencontre avec les Ntech du Pas-de-Calais.

 


Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA