Accueil
Portail
Rechercher
Dernières images
S'enregistrer
ConnexionStripe Problem
Page 1 sur 1
Stripe Problem
par casper Jeu 19 Fév - 16:36
Un important cabinet d´avocat sauvé des pirates. L´accès au serveur informatique du cabinet n´avait pas été fermé.
Pouvons nous créer des programmes sans faille ? La réponse est non. C'est même un problème très connu en informatique, le problème de la raie, mis en évidence dans les années 40 par un mathématicien Alan Mathison Turing. Il conclura sur le fait l'on ne pourra jamais prouver qu'un programme sera zéro défaut.
69
ans plus tard, ce génie des mathématiques n'a jamais eu autant raison
avec les réseaux qui nous relient. ZATAZ.COM vient d'aider un important
cabinet d'avocats parisiens à éviter que ses données sensibles ne
soient pris en main par d'éventuels curieux, et dans le pire des cas,
des pirates informatiques. Comme pour notre affaire qui nous amène devant les tribunaux aujourd'hui [lire], les données du cabinet d'avocats étaient accessibles via un serveur FTP qui n'avait pas été protégé.
Un FTP en mode anonymous
qui avait été recensé par un moteur de recherche. Un peu comme Google,
les robots (spiders) de ce moteur de recherche se sont invités dans le
serveur, comme ils le font dans des millions d'autres cas. Sauf que
pour le cabinet d'avocats justement, il n'aurait jamais du pouvoir le
faire. Le robot a permis de référencer les dossiers (répertoires) des
hommes de loi car aucun mot de passe n'avait été mis en place. Il
suffisait, ensuite, de taper n'importe quel mot de recherche dans le
moteur pour accéder à ce FTP, mélangé à d'autres FTP, eux normalement
ouverts pour télécharger les derniers mises à jour d'un logiciel,
récuperer des photos, des musiques libres de droit, ...
Pour
le cabinet d'avocats, c'est tout simplement une erreur de "gestion" du
serveur qui a mis en danger les informations. Bug informatique ? Erreur
humaine ? Nous ne le saurons jamais. L'important est que ce serveur
soit corrigé.
Les deux conversations
téléphoniques que nous avons pu avoir avec le patron de ce cabinet
d'avocats et la société en charge de l'informatique a été tout
simplement surnaturelle. "Mais comment est-ce possible ?"
soulignait le praticien du droit, spécialise de surcroit des questions
de l'Internet. Pour la société informatique, cette dernière nous
contactera deux jours après notre alerte auprès de l'avocat en chef. "Que voulez-vous ?" (...) "Pourquoi faites vous ça ?" (...). Une bonne dizaine de question en à peine deux minutes... mais sans le moindre merci.
Les moteurs de recherche: un danger silencieux
Aucun
doute possible, les moteurs de recherche sont de plus en plus pointus,
technologiques, fouineurs. Plus besoin de se pencher sur des moteurs
professionnels pour trouver des informations que nous aurions pu penser
destinées à certaines populations (armée, gouvernement, ...). La raison
de vie d'un moteur de recherche est de trouver des informations, de les
regrouper sous formes de "sommaire". Normalement, des référencements de
données licites, non sensibles. Pour cela, les moteurs de recherche
utilisent des robots, des spiders qui surfent sur les réseaux, sans
s'arrêter un seul instant. Sniffant, fouinant, ...
Même
si ces petits programmes sont suffisamment malins pour trouver,
référencer, voir classer, ils ne sont pas suffisamment intelligents
pour différencier un "Virement-historique.txt" contenant des données bancaires et un "Virement-historique.txt"dédié à des cours de voiles sur la gestion d'un gréement. Le site Spider Simulator vous donnera une idée du fonctionnement de ces spiders.
Des données sensibles, ou non, qui peuvent apparaitre avec la simple utilisation de mots clés. Imaginez l'internaute tapant "Virement historique"
et se retrouvant nez à nez avec des données bancaires en lieu et place
d'une explication sur la gestion d'un voilier lors d'une sortie de
port.
Pouvons nous créer des programmes sans
faille ? La réponse est non. Si en plus l'erreur humaine rentre dans la
problématique, nous n'avons pas fini de nous ronger les ongles. Alors
un conseil, vérifiez biens que les portes censées être fermées le
soient biens !
Pouvons nous créer des programmes sans faille ? La réponse est non. C'est même un problème très connu en informatique, le problème de la raie, mis en évidence dans les années 40 par un mathématicien Alan Mathison Turing. Il conclura sur le fait l'on ne pourra jamais prouver qu'un programme sera zéro défaut.
69
ans plus tard, ce génie des mathématiques n'a jamais eu autant raison
avec les réseaux qui nous relient. ZATAZ.COM vient d'aider un important
cabinet d'avocats parisiens à éviter que ses données sensibles ne
soient pris en main par d'éventuels curieux, et dans le pire des cas,
des pirates informatiques. Comme pour notre affaire qui nous amène devant les tribunaux aujourd'hui [lire], les données du cabinet d'avocats étaient accessibles via un serveur FTP qui n'avait pas été protégé.
Un FTP en mode anonymous
qui avait été recensé par un moteur de recherche. Un peu comme Google,
les robots (spiders) de ce moteur de recherche se sont invités dans le
serveur, comme ils le font dans des millions d'autres cas. Sauf que
pour le cabinet d'avocats justement, il n'aurait jamais du pouvoir le
faire. Le robot a permis de référencer les dossiers (répertoires) des
hommes de loi car aucun mot de passe n'avait été mis en place. Il
suffisait, ensuite, de taper n'importe quel mot de recherche dans le
moteur pour accéder à ce FTP, mélangé à d'autres FTP, eux normalement
ouverts pour télécharger les derniers mises à jour d'un logiciel,
récuperer des photos, des musiques libres de droit, ...
Pour
le cabinet d'avocats, c'est tout simplement une erreur de "gestion" du
serveur qui a mis en danger les informations. Bug informatique ? Erreur
humaine ? Nous ne le saurons jamais. L'important est que ce serveur
soit corrigé.
Les deux conversations
téléphoniques que nous avons pu avoir avec le patron de ce cabinet
d'avocats et la société en charge de l'informatique a été tout
simplement surnaturelle. "Mais comment est-ce possible ?"
soulignait le praticien du droit, spécialise de surcroit des questions
de l'Internet. Pour la société informatique, cette dernière nous
contactera deux jours après notre alerte auprès de l'avocat en chef. "Que voulez-vous ?" (...) "Pourquoi faites vous ça ?" (...). Une bonne dizaine de question en à peine deux minutes... mais sans le moindre merci.
Les moteurs de recherche: un danger silencieux
Aucun
doute possible, les moteurs de recherche sont de plus en plus pointus,
technologiques, fouineurs. Plus besoin de se pencher sur des moteurs
professionnels pour trouver des informations que nous aurions pu penser
destinées à certaines populations (armée, gouvernement, ...). La raison
de vie d'un moteur de recherche est de trouver des informations, de les
regrouper sous formes de "sommaire". Normalement, des référencements de
données licites, non sensibles. Pour cela, les moteurs de recherche
utilisent des robots, des spiders qui surfent sur les réseaux, sans
s'arrêter un seul instant. Sniffant, fouinant, ...
Même
si ces petits programmes sont suffisamment malins pour trouver,
référencer, voir classer, ils ne sont pas suffisamment intelligents
pour différencier un "Virement-historique.txt" contenant des données bancaires et un "Virement-historique.txt"dédié à des cours de voiles sur la gestion d'un gréement. Le site Spider Simulator vous donnera une idée du fonctionnement de ces spiders.
Des données sensibles, ou non, qui peuvent apparaitre avec la simple utilisation de mots clés. Imaginez l'internaute tapant "Virement historique"
et se retrouvant nez à nez avec des données bancaires en lieu et place
d'une explication sur la gestion d'un voilier lors d'une sortie de
port.
Pouvons nous créer des programmes sans
faille ? La réponse est non. Si en plus l'erreur humaine rentre dans la
problématique, nous n'avons pas fini de nous ronger les ongles. Alors
un conseil, vérifiez biens que les portes censées être fermées le
soient biens !
casper- Modo
-
Nombre de messages : 80
Age : 39
Section : Informatique
Date d'inscription : 06/08/2008
Page 1 sur 1
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum