Après avoir montré l'existence d'une faille de sécurité sur le site de tati.fr, kitetoa se voit poursuivi en justice. Bilan, le TGI de paris condamne avec sursis kitetoa à payer 1000 pour fraude informatique.
Moralité : si vous découvrez une faille, gardez-vous bien de faire quoi que ce soit. Kitetoa prévient toujours les admins du serveur avant de publier quoi que ce soit sur leur site.
# La sécurité avance !
Posté par Annah C. Hue (site web personnel) . Évalué à 10.
Un seul mot, bravo.
[^] # Entrave à la liberté d'expression
Posté par maxoub . Évalué à 10.
Si l'on pas le droit de le signaler, il y a entrave à la liberté d'expression, non ?
[^] # Re: Entrave à la liberté d'expression
Posté par dva (site web personnel) . Évalué à 10.
[^] # Re: Entrave à la liberté d'expression
Posté par Mathieu Dessus (site web personnel) . Évalué à 10.
les responsables sécurité ou directeurs informatique sont passibles de peines similaires que des pirates s'ils n'ont pas pris les précautions nécessaires pour assurer la sécurité de leur système d'information.
[^] # Re: Entrave à la liberté d'expression
Posté par Jak . Évalué à 10.
Exemple : une boîte vend un service en ligne à d'autres entreprises. Ces dernières s'en servent pour gérer une liste de revendeurs. Ce service utilise des ASP sur un IIS (bêêêrk, mais bon), et il y a une base SQLServer derrière. Or, l'admin sys (qui aimerait bien virer les Windows, mais bon, 'va falloir aller dire aux développeurs de se passer des ASP...), même en sécurisant tout ce qu'il veut, ne peut pas empêcher l'appli ASP d'être pourrie. Il m'a montré l'autre jour que n'importe qui pouvait se logger sur le service, car la vérification de la requête sur le login n'était pas faite.
En gros, il suffit de fermer une quote, et mettre -- (commentaire en SQL, si j'ai bien compris), et hop, on rentre comme on veut. Là, c'est les développeurs qui ont fait un boulot de porcs, et ce n'est pas à l'admin sys d'aller leur expliquer comment coder, en théorie. Ce qui m'a fait tiquer, quand on me l'a montré, c'est une phrase en bas sur le site : «Ce site est protégé, et vous êtes le seul à pouvoir y accéder» ou quelque chose du genre.
Donc l'admin sys aura beau sécuriser sa machine au maximum, il ne peut rien contre l'incompétence des développeurs.
Et là, comment ça se passe ? On ne peut tout de même pas envoyer en taule (peines similaires) les développeurs parce qu'il y a des bugs dans leurs applis, ou alors, cela créerait un précédent douteux.
[^] # Re: Entrave à la liberté d'expression
Posté par MagicNinja . Évalué à 10.
>il ne peut rien contre l'incompétence des développeurs
Je pense que le terme incompétence est correct. C'est une 'faille' qui existe avec n'importe quel site accédant à une base de données.
On peut faire la même chose avec MySQL (et postgresql, et autres). Par exemple, ma requete de verif de mot de passe:
SELECT user_id FROM table_user WHERE user_login='$login' AND user_password='$pass';
Si dans le formulaire on passe le login user'# ou ici user'--, alors la fin de la requete est prise pour un commentaire, donc pas de verification du password.
C'est plus que basique (il faut mettre un \ (ou autre selon la base) devant les caracteres tendencieux comme ', #, -.... En php on peut utiliser addslashes).
[-1] car avis perso sur les devs
[^] # Re: Entrave à la liberté d'expression
Posté par Jak . Évalué à 1.
[-1] car avis perso sur les devs
Ben, ce qui me fait peur, c'est que ce cas n'est certainement pas unique, et qu'on doit en trouver à la pelle, des «start-up» à la con, qui ont embauché des gars qui ont déjà bidouillé 2 ou 3 lignes de code sur leur PC sans avoir eu une formation rigoureuse sur la sécurité, et qui râlent dès qu'on leur fait la moindre remarque sur leur façon de faire (Bon, disons que sur ce coup-là, ils ne l'ont pas trop ramené, surtout qu'il y avait 2 ou 3 de leurs sites en production qui étaient affectés).
-1, car ça fait pas avancer le schmilblick
[^] # Re: Entrave à la liberté d'expression
Posté par Mathieu Dessus (site web personnel) . Évalué à 3.
Et c'est le boulot du RSSI de vérifier que les dev réalisés ont un niveau de sécurité conforme aux attentes de sa société.
[^] # Re: Entrave à la liberté d'expression
Posté par Jak . Évalué à 7.
De plus, quand on voit qu'ils se demandent des fois à quoi peut servir un admin sys (pas tout-à-fait, mais presque), ils ne sont certainement pas prêt d'embaucher un responsable sécurité.
Tu cernes plus le problème ? Les petites entreprises du type start-up négligent complètement l'aspect sécurité, vu que c'est sûr, ça coûte des sous. Et je ne pense pas que la boîte citée soit un cas isolé, il n'y a qu'à voir comment Kitetoa a épinglé ATOS, qui est loin d'être une petite start-up à 2 balles.
[^] # Re: Entrave à la liberté d'expression
Posté par Pierre Jarillon (site web personnel) . Évalué à 2.
Lorsque la sécurité est prise en main par des gestionnaires financiers, il ne faut pas s'attendre à autre chose.
Il serait temps de les DSI embauchent de vrais spécialistes de la sécurité. Les linuxiens y trouveraient leur compte !
[^] # Re: La sécurité avance !
Posté par pas_moi . Évalué à 10.
Y'a plus qu'une chose à faire: boycoter Tati (de toute façon, ça ne se trouve que sur Paris ces trucs là, non?).
[^] # Non
Posté par Infernal Quack (site web personnel) . Évalué à -10.
L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire
[^] # Re: La sécurité avance !
Posté par walloo . Évalué à -3.
[^] # Re: La sécurité avance !
Posté par Marc (site web personnel) . Évalué à 3.
[^] # Re: La sécurité avance !
Posté par Pierric -=#' . Évalué à 1.
[^] # Re: La sécurité avance !
Posté par pas_moi . Évalué à 3.
[^] # Re: La sécurité avance !
Posté par Amaury . Évalué à 10.
Rappel juridique : l'intrusion dans un "système automatisé de données" est passible de mor^h^h^h pas loin mais presque :-)
C'est très con mais bon, l'affaire Lacambre/altern.org/Estelle Halliday avait bien montré que la connaissance des juges en matière d'Internet était très limitée...
N'hésitez pas à envoyer un 'tit mail de soutient à kitetoa, ça leur fera plaisir.
[^] # Re: La sécurité avance !
Posté par pas_moi . Évalué à 10.
Mais c'est vrai qu'un petit juge ne peut pas comprendre qu'un serveur web est fait pour recevoir des connexions...
[^] # Re: La sécurité avance !
Posté par Franck Yvonnet . Évalué à 6.
[^] # Re: La sécurité avance !
Posté par pas_moi . Évalué à 10.
D'après le jugement, il est interdit d'utiliser le serveur web pour y faire une requête du style http://tati.fr/base_de_donnees_des_clients.xls
Si quelqu'un arrive à trouver ça normal, il faut qu'il m'explique pourquoi. Pour moi, il n'y a rien d'illégal à envoyer un paquet IP à une machine dont la fonction première est de recevoir des paquets.
Pour ce qui est des banques ouvertes au public, je n'ai encore jamais vu une telle banque laisser son coffre fort ouvert au public.
[^] # Re: La sécurité avance !
Posté par Toufou (site web personnel) . Évalué à 1.
Quelqu'un aurait plus d'info là dessus ?
[^] # Pas aussi simple....
Posté par Vanhu . Évalué à 10.
Une banque se fait cambrioler, elle porte plainte, et si on choppe les cambrioleurs, ils sont condamnés. Normal.
Si une banque a une "porte de service" qui ferme meme pas a cle, que quelqu'un rentre dedans, met un mot "faites gaffe les gars, j'aurais pu piquer du pognon", et previent *ensuite* tout le monde (en laissant a la banque un minimum de temps pour mettre une vraie porte ou reboucher), j'estime que la banque devrait jouer profil bas et remercier le gars. D'un autre cote, le gars pouvait simplement prevenir la banque, sans rentrer.
Maintenant, si le gars en question trouve une faille dans un système pourtant assez bien blindé, ca se complique: des failles, il y en a toujours, plus ou moins faciles a voir et/ou a exploiter.
La encore, s'il se contente de prevenir la banque, et ne fait *aucun* degat, ca se discute.
Mais s'il fait le moindre degat, on est en droit de se demander s'il pouvait le faire, ou s'il ne pouvait pas plus simplement donner une explication theorique, sans demonstration (quitte a la faire plus tard si on ne le croit pas).
Donc, c'est pas aussi simple: le fait que l'equipe de kitetoi trouve les failles de serveurs, previennent les admins *puis* previenne le grand public (apres avoir laisse un temps raisonnable de reaction aux adminsys), c'est plutot bien.
Mais ont-ils le *droit* (legal et/ou logique) de rentrer effectivement sur les systemes en question, ca se discute....
[^] # Re: Pas aussi simple....
Posté par Johann Deneux . Évalué à 5.
Il est impossible d'analyser la sécurité d'une boite noire sans y toucher, et la toucher peut être considéré comme une intrusion.
[^] # Re: La sécurité avance !
Posté par vjm . Évalué à 8.
Le but de Kitetoa n'est pas (spécialement :) de divulguer des informations concernant la sécurité de ces serveurs publics ou d'aider les administrateurs, mais surtout de dénoncer ces administrations ou entreprises qui divulguent des fichiers nominatifs informatiques à cause d'un défaut de sécurité qui bien souvent n'est dû qu'à un manque de configuration (et non pas de développement).
Avec la recherche par extensions de google, ou bien l'introduction de liens vers des CGI dans une page crawlées, on peut également réaliser de magnifiques "intrusions". Je pense que c'est l'incompétence et l'igorance de la loi qui devraient être punis, pas le citoyen qui les pointe.
(en passant, comment savoir si les données sont reservées/privées/interdites puisqu'on se trouve sur un serveur public et qu'on tape de simples URL ? On peut invoquer s'être trompé, ou même être arrivé là par un lien du site en quesion, etc. C'est pas scalable comme jugement :)
[^] # Re: La sécurité avance !
Posté par Benoit Joseph . Évalué à 2.
[^] # Re: La sécurité avance !
Posté par VACHOR (site web personnel) . Évalué à 10.
Si la loi dit "l'intrusion dans un "système automatisé de données" est passible ...", les juges l'appliquent avant même de savoir dans quel but est faite l'intrusion. La notion de but est à ajouter dans la loi, encore qu'un but véritable et avéré est difficilement démontrable. Si un cracker entre dans un système avec le but d'y nuire, et ne réussit pas son mauvais coup, il peut toujours dire qu'il avait l'intention de détecter les trous de sécurité pour prévenir l'admin...
Si vous avez déjà été cambriolé vous savez que toute intrusion est suspecte et désagréable. Sans compter la divulgation d'informations potentiellement confidentielles.
A relativiser donc.
[^] # Re: La sécurité avance !
Posté par dva (site web personnel) . Évalué à 10.
Personnellement moi j ai rien contre les gens qui me disent que ma portiere de voiture est mal fermee ou qui me previenne quand mon sac a dos est ouvert .
[^] # Re: La sécurité avance !
Posté par Franck Yvonnet . Évalué à -10.
[^] # Re: La sécurité avance !
Posté par Anonyme . Évalué à 10.
Si tu laisse ta porte ouverte, qu'on pénètre chez toi, tu va avoir du mal à faire reconnaitre l'infraction. Si ta porte est fracturée ça change tout.
Et là se pose un problème, en informatique, peut-on considèrer qu'utiliser un logiciel utilisant des failles connues sont des « portes ouvertes » ?
[^] # Re: La sécurité avance !
Posté par Franck Yvonnet . Évalué à 1.
> effraction. Que le système soit forcé.
> Si tu laisse ta porte ouverte, qu'on pénètre
> chez toi, tu va avoir du mal à faire reconnaitre
> l'infraction. Si ta porte est fracturée ça
> change tout
Un vol c'est un vol, qu'il y ait effraction ou pas. Tu peux toujours essayer de combrioler un appartement dont la porte est restée ouverte, en laissant ta carte de visite, si tu ne me crois pas ;-)
C'est surtout du coté de l'assurance que ça risque effectivement de poser problème.
> Et là se pose un problème, en informatique,
> peut-on considèrer qu'utiliser un logiciel
> utilisant des failles connues sont des « portes
> ouvertes » ?
À partir du moment où on détourne un serveur de son fonctionnement "normal", on considère qu'il y a effraction. Et je doute que la consultation des données personnelles stockées sur le serveur soit considérée comme une utilisation "normale".
[^] # Re: La sécurité avance !
Posté par vrm (site web personnel) . Évalué à 5.
[^] # Re: La sécurité avance !
Posté par kalahann . Évalué à 2.
Attention: je connais le cas d'une entreprise qui avait laissé son serveur ftp ouvert sur internet, avec un accès anonyme ou guest qui avait les droits en lecture ET écriture.
Quelqu'un a utilisé ce ftp, et ils n'ont rien pu faire (à part désactiver le compte évidemment) Car c'était considéré comme un service ouvert au public...
[^] # Re: La sécurité avance !
Posté par pas_moi . Évalué à 6.
Répondre à des requêtes HTTP, tel est le fonctionnement normal d'un serveur web. C'est quand même pas de la faute du pirate si le serveur envoie des fichiers qui n'auraient jamais dus être disponibles...
[^] # Re: La sécurité avance !
Posté par Franck Yvonnet . Évalué à -5.
[^] # Re: La sécurité avance !
Posté par Jak . Évalué à 2.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 3.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: La sécurité avance !
Posté par pas_moi . Évalué à 4.
C'est de ma faute s'il arrive à rentrer chez moi, mais s'il en profite pour me voler ma HiFi, c'est de sa faute (personne à part lui ne le pousse à me voler) ; au niveau, le vol dans le sens cambriolage ne correspond pas au vol au sens informatique: le cambrioleur, en me volant mon matos, m'empêche de l'utiliser, alors que le hacker, en volant la base de données des clients, n'empêche pas la société d'accéder à ses fichiers vu qu'il ne supprime pas le fichier...
[^] # Re: La sécurité avance !
Posté par dva (site web personnel) . Évalué à 5.
[^] # Re: La sécurité avance !
Posté par dva (site web personnel) . Évalué à -3.
-1 , faut que je pense a allumer mon neurone
[^] # Re: La sécurité avance !
Posté par pas_moi . Évalué à 3.
-1 (c'est quand que la fonction supprimer un commentaire est disponible, même si c'est unqiuement pendant les 10 minutes qui suivent le post)
[^] # Re: La sécurité avance !
Posté par pas_moi . Évalué à 8.
Par contre, la propriété privée, je ne vois pas à quoi ça peut correspondre en informatique. Internet appartient à tous ceux qui l'utilise, si une donnée ne doit pas être téléchargée sur Internet, il ne faut pas qu'elle soit téléchargeable... c'est aussi simple que ça.
[^] # Re: La sécurité avance !
Posté par pas_moi . Évalué à 10.
[^] # Re: La sécurité avance !
Posté par vrm (site web personnel) . Évalué à 9.
Il est temps que les ATOS/Tati arretent de pleurer, commence a se remetre en question et finissent par prendre leurs responsabilités.
[^] # Re: La sécurité avance !
Posté par Jean-Yves B. . Évalué à 8.
Si on doit faire une analogie, c'est plutot du genre : est-ce une effraction que de rentrer dans un magasin par la porte de derriere sachant qu'elle est directement accessible au public et qu'il n'y a aucun panneau << reserve au personnel >> ?
Franchement, ici la porte etait bien ouverte et aucune faille n'a ete utilisee (comme dans beaucoup de trous reperes par kitetoa sur le boulot (si on peut encore appeller ca du boulot) fait par Atos Origin dans diverses boites).
Dans le cas ou ils changent les prix dans le caddie car ils sont stockes dans la requete http, ce n'est pas vraiment une faille, pas plus que changer le code-barre dans un supermarche est une faille.
[desole pour les accents, cet enc**e de netscape ne prends pas les combos avec Compose sur le clavier qwerty]
[^] # Re: La sécurité avance !
Posté par pfrenard . Évalué à 1.
C'est pas parcequ'il n'y a pas de cloture autour de ta maison que tout le monde puisse rentrer chez toi.
La c'est un peu pareil, c'est grand ouvert mais tu n'as pas a profite de la faille, ni meme a la dire a tout le monde.
Peut-etre peux tu notifier la faille au responsable du site par lettre recommande avec AR, et enventuellement au noms des utilisateurs porter plainte ... ca me semble plus clean comme demarche.
RuZed
[^] # Re: La sécurité avance !
Posté par gwenn cumunel (site web personnel) . Évalué à 6.
Ici, on devrait plutôt dire que kitetoa a prévenu le gardien du parking que toutes les voitures était facilement ouvrable et qu'il ferait bien de faire quelque chose...
Tati a laissé le bug en place alors que les informations de ses clients était accessibles. Je pense que ce sont eux les plus à blâmer !!!
De tel comportement montre bien le respect qu'a cette boîte vis à vis de ces clients ! comportement que l'on retrouve un peu partout (l'article du LMI en fait mention, en bas...).
"Pour vivre heureux, vivons caché...", c'est le leitmotiv de beaucoup d'éditeurs en ce moment, il est vrai qu'il est plus facile de se cacher la tête dans la sable que de faire son boulot et de corriger les bugs !
[^] # Re: La sécurité avance !
Posté par Toufou (site web personnel) . Évalué à 6.
Surtout quand tu lis ça :
http://www.kitetoa.com/Pages/Textes/Les_Dossiers/Admins/Admin4/loi_(...)
[^] # Re: La sécurité avance !
Posté par Xavier Poinsard . Évalué à 10.
Ainsi, aucun papier sur le site de Kitetoa ne concerne tati.
J'aimerais savoir d'où tu tiens que "un gouffre que Kitetoa ne s'est pas géné pour franchir" ??
[^] # Re: La sécurité avance !
Posté par pfrenard . Évalué à 1.
C'est pas tres clean.
Sur le principe c'est sympa de te prevenir mais c'est pas sympa de prevenir la terre entiere.
Je crois que c'est le fond de la condanation.
RuZed
[^] # y'a t-il un juriste dans la tribune ?
Posté par Da Scritch (site web personnel, Mastodon) . Évalué à 10.
Je suis sûr qu'on peut trouver une justification sur la publication des failles de sécurité.
Faut pas pousser, c'est quoi cette Justice digne de Jacques Tati ?
[^] # La sécurité avance !
Posté par kalahann . Évalué à 10.
C'est bien gentil d'attaquer les juges en disant qu'ils n'y connaissent rien, mais ça vient peut-être aussi de l'avocat de kitetoa qui les aurait mal défendus. De plus, les juges ne sont censés être "que" des spécialistes de la justice, ils n'ont pas la science infuse et ne peuvent pas connaître TOUT ce qu'on leur présente (sécurité informatique, mécanique, plomberie, ...) C'est un peu facile de crier à l'incompétence dès qu'on est déçus.
[^] # Re: La sécurité avance !
Posté par Annah C. Hue (site web personnel) . Évalué à 8.
[^] # ... Et la justice recule, comment veux-tu comment veux-tu que je t'...
Posté par kalahann . Évalué à 4.
C'est parfois comme ça, oui. Evidemment, si en plus tu prends un avocat complètement nul, incapable de monter un dossier correctement afin que le juge ait toutes les pièces en main pour prendre une décision raisonnable... Dommage!
Le juge ne va pas faire ta défense à la place de ton avocat (en plus il perdrait son impartialité!)
[^] # Re: La sécurité avance !
Posté par dva (site web personnel) . Évalué à 1.
[^] # euh ...
Posté par Infernal Quack (site web personnel) . Évalué à 0.
La justice manque d'effectif
L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire
[^] # Re: La sécurité avance !
Posté par Frelon . Évalué à 4.
La moindre des chose, c'est de les comprendre un minimum avant de les juger non ?
[^] # Re: La sécurité avance !
Posté par kalahann . Évalué à 3.
Mais je suis d'accord dans ce cas particulier: Le juge ne devait pas connaître le principe de disclosure en sécurité, qui est pourtant une habitude dans le métier!
[^] # Re: La sécurité avance !
Posté par Gaël Le Mignot . Évalué à 2.
[^] # Re: La sécurité avance !
Posté par Pat _ . Évalué à 4.
Mais il y en a des bons, des mauvais, des partiaux, etc (un expert est seulement un professionnel reconnu dans le secteur, ce qui veut dire tout et rien) et il faut qu'on y fasse appel.
[^] # Re: La sécurité avance !
Posté par Frelon . Évalué à 2.
?? excuse moi, j'ai peu être mal compris.
Tu me dit qu'il est "normal" qu'on rende un jugement sans comprendre les tenants et aboutissants d'un dossier ?
l'avocat doit "connaitre" mais le juge doit "comprendre" non ?
[^] # Re: La sécurité avance !
Posté par kalahann . Évalué à 0.
[^] # Re: La sécurité avance !
Posté par Frelon . Évalué à 4.
On parle dans le vide
papy nous donne plus bas l'adresse :
www.kitetoa.com/_disc1/showthread.php3?t
le juge a bien compris.
[^] # Re: La sécurité avance !
Posté par #3588 . Évalué à 4.
Attention, le juge peut etre "incompétent" dans un domaine particulier, qui n'est pas le sien, et il n'y a pas de mal à cela. Des tribunaux se sont déja déclarés "incompétents à juger" certaines situations. Ca n'a rien à voir avec un problème d'incompétence dans le domaine où on est sensé etre compétent.
Ce qu'ils doivent savoir faire, c'est mesurer à quel point ils sont compétents pour juger, si le domaine en question ne leur est pas familier. Il n'y a pas de honte à se déclarer incompétent en un domaine, surtout dans ce cas, quand une technologie et sa pratique vont plus vite que les lois. Et quand un tribunal n'est pas compétent pour juger, par manque de connaissance (d'ailleurs le manque de moyens est clair, et ils n'en sont pas non plus responsables), la présomption d'innocence n'est pas à oublier. Surtout quand l'action mise en cause n'a pas nuit et que ca n'a rien apporté à l'accusé.
[^] # Re: La sécurité avance !
Posté par bib . Évalué à -2.
Tu oublies de dire qu'ils recoivent une belle prime pour leur travaille efficace et montent en grade.
[^] # Re: La sécurité avance !
Posté par Olivier Brisson . Évalué à -4.
la defcon, elle est finie!!!
# france
Posté par dva (site web personnel) . Évalué à 10.
[^] # Re: france
Posté par Anonyme . Évalué à 10.
[^] # Re: france
Posté par dva (site web personnel) . Évalué à 3.
[^] # Re: france
Posté par Gaël Le Mignot . Évalué à -4.
Cannibale ! Assassin ! Criminel ! Sauvage !
-1, [jesors] et snif pour mes XPs mais j'ai pas pu résister :(
[^] # Re: france
Posté par dva (site web personnel) . Évalué à -3.
-1 dialogue de moule
D'ailleurs a bruxelles , y a un resto qui s appelle 'la moule sacree' mais j ai pas eu le temps de m y arreter ): . Par contre je crois que Pascal Terjan a pris une photo
[^] # Allemagne
Posté par Jean-Pierre Schwickerath (site web personnel) . Évalué à 1.
Il y est dit que la modification, l'effacement, l'obstuation (?) et la destruction de données est un délit et surtoute que LA TENTATIVE l'est aussi.
Donc en Allemagne, l'acte de kitetoa serait contre la loi et ils auraient sûrement et malheureusement eu les mêmes conséquences.
Mais où est la justice dans notre monde ?
[^] # Re: Allemagne
Posté par Jean-Yves B. . Évalué à 4.
Pour ce qui est du caddie dont on change les prix, ce n'est pas de la modification de donnees, c'est juste une commande personnalisee (d'un certain point de vue).
# Le(s) papier(s) incriminé(s)
Posté par Anonyme . Évalué à 10.
http://www.kitetoa.com/Pages/Textes/Les_Dossiers/Admins/Admin1/tati(...)
http://www.kitetoa.com/Pages/Textes/Les_Dossiers/Admins/Admin1/tati(...)
http://www.kitetoa.com/Pages/Textes/Les_Dossiers/Admins/Admin5/tati(...)
[^] # Re: Le(s) papier(s) incriminé(s)
Posté par Anonyme . Évalué à 10.
Kitetoa se contente de rappeler qu'en utilisant des failles connues de tout le monde, on obtient des données sensibles de certains sites.
Je trouve que Kitetoa est un site primordial sur le net, et même qu'un tel site devrait être obligatoire, peut-être de manière plus institutionnelle, parce qu'en tant que citoyen et internaute, on est en droit de savoir que sur un site bancaire ou un site de commerce en ligne ou autres, on prend des risques considérables en donnant notre numéro de carte bleue ou autre.
Dans ce cas, condamnons aussi les émissions de télé qui montrent comment frauder, qui parlent de la Yescard en en montrant, voire en montrant des gens qui en programment une, ou qui montrent comment nos données de cartes bancaires données au téléphone à des trucs en VPC sont bien mal gardés.
[^] # Re: Le(s) papier(s) incriminé(s)
Posté par anonyme anonyme . Évalué à 9.
La methode est simple en utilisant un navigateur de type netscape, tu te connectes sur le serveur cible, puis dans le menu view, une ligne qui bien souvent est desactivee se retrouve active. c'est la ligne page services. Tu clicke dessus et la le listing directory se fait.
Il suffit apres de regarder les fichiers, se promener dans l'arborescence du site pour voir des fichiers du types de base de donnees clientes.
Il faut savoir que Pages Services est active dans le menu netscape que si l'option du cote du serveur est autorise.
Amicalement
# C'est logique...
Posté par Zorro (site web personnel) . Évalué à 10.
Or, cette intrusion est interdite par la loi.
Donc le juge condamne. C'est con mais c'est logique. Le juge est là pour appliquer la loi, il l'a fait, point.
Je ne vois pas où est le problème.
[^] # Re: C'est logique...
Posté par Frelon . Évalué à 3.
loi mal faite, refaire loi.
[^] # Re: C'est logique...
Posté par Franck Yvonnet . Évalué à -5.
[^] # Re: C'est logique...
Posté par Anonyme . Évalué à 10.
Autoriser la divulgation d'informations relatives à des failles de sécurités oui. On devrait être en droit de signaler aux citoyens ce qui les met en péril.
Que ça soit dans l'agroalimentaire (farines animales...), dans le bancaire (carte bleue)... ou dans le commerce par internet.
Je pense que les clients du site en question devraient être en droit de connaitre le peu de cas que fait le site des informations les concernants.
Les lois ne sont pas forcements mauvaises, mais sont interpretées de manière douteuse : dans le cas présent, il ne me semble pas que cela soit en faveur de qui que ce soit d'autre que les auteurs du site : certainenement pas en faveurs des utilisateurs du site.
[^] # Re: C'est logique...
Posté par Anonyme . Évalué à 3.
Que ça soit dans la santé (affaire des hémophiles...), dans l'automobiles (mercedes classe A...), divulguer des failles apparait comme un droit et même un devoir.
)
[^] # Re: C'est logique...
Posté par Franck Yvonnet . Évalué à -10.
Seulement, dans le cas qui nous intéresse, l'information divulguée est potentiellement nuisible: Kiteto aurait pu se contenter de dire "il y a une faille sur le serveur de Tati qui permet d'acceder à des données personnelles", au lieu de vouloir montrer point par point comment faire pour y acceder. C'est tout aussi irresponsable que de publier la methode permettant de faire exploser la Mercedes du voisin...
[^] # Re: C'est logique...
Posté par Jean-Yves B. . Évalué à 5.
C'est seulement quelques mois plus tard qu'ils ont donne un lien direct vers l'intranet (juste un href) et ce lien specifique a ete deplace depuis (attention, juste ce lien, je ne sais pas (j'en doute) si le site a ete globalement securise).
[^] # Re: C'est logique...
Posté par vrm (site web personnel) . Évalué à 1.
kitetoa ne divulgue pas comment faire ( va voir le site un peu)
[^] # Re: C'est logique...
Posté par Frelon . Évalué à 1.
Mais entre "autoriser le piratage" et respect du droit d'expression il me semble que la balance de la justice soit un peu tarée.
De plus, mettre en avant une faille de securité (dans les regles : avertir les admin, delai "raisonnable avant publication.. ) ne peu qu'être benefique contre les "R3B3LZ".
[^] # Re: C'est logique...
Posté par Franck Yvonnet . Évalué à -3.
[^] # Re: C'est logique...
Posté par Frelon . Évalué à 1.
www.kitetoa.com/_disc1/showthread.php3?t
on nous dit que "Vous verrez que le Procureur a dit que "l'infration" n'était "pas constituée".
"
[^] # Re: C'est logique...
Posté par nodens . Évalué à 5.
Donc, on peut dire que la loi est mal faite, puisqu'elle considère une intrusion de ce type qui avait surtout pour but d'améliorer la sécurité du serveur, d'une intrusion malveillante.
A ce compte là, les boîtes qui font des audits de sécurrité et s'introduisent dans les systèmes pour en tester la résistance aux attaques sont des pirates ! Ouh, les méchants !!
J'ai eu le cas dernièrement : sur une machine dédiée de notre centre d'hébergement, un client avait demandé un audit de sécu par une boîte externe. Ils le font faire, la boîte qui effectue l'audit arrive à s'introduire dans le système et à avoir un accès root (un script php mal foutu posé par le client pendant que je regardais pas, heureusement :-) )... C'est du piratage ? c'est malveillant ? non ? pourtant, si j'applique la lettre de la loi (quoique je sois pas sûr, j'ai pas le texte sous les yeux, mais en tout cas si on suit l'exemple de kitetoi), il s'agit d'une intrusion. Donc, d'un délit.
pfff...
[^] # C'est de la logique à 2 euros
Posté par pas_moi . Évalué à 7.
Arrêtez de naviguer sur Internet ou vous risquez des procès perdus d'avance de la part de tous les sites que vous visitez!!!
[^] # Re: C'est logique...
Posté par Sébastien Koechlin . Évalué à 10.
Lorsqu'un français pompe le fichier des clients qui n'est pas protégé, on lui fait un procès plutot que de corriger le problème. Lorsque c'est un roumain (je n'ai rien contre les roumains), il n'y a rien à faire, il va pouvoir exploiter joyeusement les emails voir les n° de CB.
Lorsque je fais des commandes sur internet, je préfère que mon n° de CB ne se ballade pas partout ensuite, croyez vous que l'on puisse se contenter de faire confiance à celui qui à installé (et facturé) le site ? kitetoa montre justement que ce n'est pas le cas.
Moi j'aurai condamné Tati pour "divulgation d'informations personnelles, avec circonstances agravantes (ils ont été prévenus)". Aujourd'hui la loi protège les entreprises qui ne font pas ce qu'il faut pour protéger les informations de leurs clients, ce n'est pas normal.
[^] # Re: C'est logique...
Posté par gwenn cumunel (site web personnel) . Évalué à 6.
Le juge est là pour faire respecter l'esprit de la loi, me semble t'il.
Autrement dit, les juges ne sont pas des robots qui appliquent la loi sans chercher à en savoir plus que le fait brut, mais bien au contraire, ils doivent (aurait du dans le cas présent ?) comprendre les motivations et le déroulement des faits. Sinon pour un acte tombant sous le coup de la loi, il y aurait toujours la même peine !
Dans le cas présent, le juge a t'il bien compris les tenants et les aboutissants de l'affaire ?
[^] # Re: Non assistance a site web en danger...
Posté par a_jr . Évalué à 7.
Mais apres, tu vas rester les mains dans les poches si tu sais ce qu'il faut faire? Tu vas refuser d'aider la personne parce qu'on va dire "attentat a la pudeur" si tu lui fais du bouche a bouche; parce qu'on va dire "tentative de meutre" parce que tu lui a decoupe la gorge pour lui faire une tracheotomie (si on avale une guepe par exemple...)
C'est une question d'interpretation.
La, le juge il a compris "penetration dans le systeme de donnees" et pas "tentative d'assistance a site web en danger". Bref, il a rien compris. Comme y'a pas mort d'homme ni mega-pertes financieres, alors c'est "pas grave".
Justice a 2 vitesse... tant qu'on y est, y'aurait pas aussi la marche arriere, juste pour les affaires de l'informatique et du web?
Le bonjour chez vous,
Yves
[^] # Re: C'est logique...
Posté par #3588 . Évalué à 2.
Non le juge est là pour juger (!). S'il n'y avait qu'à appliquer les lois sans réfléchir, on n'aurait pas besoin de justice puisque les lois sont définies. Il suffirait d'une police pour vérifier les faits, et appliquer sans procès.
Le juge est bien là pour étudier ce qui s'est passé. Pour confronter ce que dit la loi aux circonstances de l'affaire en question. Et parmi les questions à se poser : quel est le but de la loi ? Qu'a fait l'accusé ? Quelles étaient ses intentions ? Il n'y a pas application systématique, meme si l'accusé a effectivement commis quelque chose d'interdit.
[^] # Re: C'est logique...
Posté par Eric Leblond (site web personnel) . Évalué à 2.
Crackons bien, Crackons caché.
En fait le seul problème de kitetoa c'est qu'ils n'étaient ni assermentés, ni mandatés. Par conséquent, ils sont intervenus bénévolement et ils ont été punis pour ça. C'est sûr qu'avec des requins comme Tati, le bénévolat c'est louche !
[^] # Re: C'est logique...
Posté par Pierre Jarillon (site web personnel) . Évalué à 2.
Je doute qu'il l'ait fait, ou alors, il a été bien mal conseillé.
A moins que... les juges ripoux, c'est pas posssible ?
# la dans forum-blabla de Kitetoa...
Posté par blackshack . Évalué à 8.
[^] # Re: la dans forum-blabla de Kitetoa...
Posté par Vanhu . Évalué à 3.
Le juge dit "euh, la ramenez pas trop, c'est quand meme vous qui avez fait une grosse bourde au debut", mais dit quand meme a kitetoi "bon, ce que vous avez fait, c'est limite quand meme, je vous colle pas un gros coup de boule, mais je dois vous donner une petite baffe quand meme".
Ca serait assez coherent...
[^] # Re: la dans forum-blabla de Kitetoa...
Posté par François Désarménien . Évalué à 4.
Au civil, on réclame des sous pour dommages et
intérêts, pas de la tôle ni une amende. Tati a
été débouté au civil. Fulldot. Exit Tati.
C'est au pénal (le parquet) qu'on réclame de la
taule et/ou des amendes.
Mais bien que le procureur (le parquet) ait dit
que l'infraction n'était pas constituée, le juge
leur colle 1000 nouvelles/nouvelles balles
d'amende avec sursis.
C'est ça qui est bizarre autant qu'étrange...
# avant de dire n'importe quoi ...
Posté par pappy (site web personnel) . Évalué à 9.
Kiteto a déjà donné certaines explications qu'il me semble utiles de lire avant de raconter des conneries :
http://www.kitetoa.com/_disc1/showthread.php3?threadid=225(...)
# que risque l'utilisateur moyen
Posté par Virginie . Évalué à 9.
J'explique : je me suis déja retrouvé dans ce cas un jour.
Je me suis retrouvé dans un répertoire sans index et le serveur m'a listé la liste des fichiers. En essayant de trouver par ou rentrer, je me suis retrouvé dans la liste des utilisateurs...
Bah alors, je passe pas par la case départ, je paye une amende et je vais en prison ???
[^] # lecture de logs et population
Posté par Jul (site web personnel) . Évalué à 3.
Pour ma part, je ne n'apprécie pas que l'on s'amuse à faire des scans de ports, et des tentatives d'attaques par chaine malignes.
Sans être un sysadmin, j'ai tenté de protéger raisonnablement ma boite au vu de mes maigres connaissances. Par contre, je n'hésites jamais à prévenir le responsable du domaine lorsque je me trouve en face d'une attaque avérée.
Pourquoi?
Le dialogue permet de vérifier que la personne n'a pas été rootkité, qu'elle est de bonne foi... Mon principe de base c'est qu'il y a
-les blaireaux (ils envoient un mail pour vous dire qu'il vont vous attaquer)
-les indélicats (ils vous attaquent)
-les fanfarrons, ils vous attaquent et après vous envoie un mail pour vous dire que vous êtes nul.
Et au milieu de tout ça, il y a le reste du monde, des gens qui découvrent des failles par hasard avec une chance inouie, des machines infectées, des personnes qui perdent des heures à auditer votre machine afin de vous rendre service...
Bref, il faut toujours dialoguer pour savoir qui est l'interlocuteur et lever l'ambiguité.
Et vous quel est votre premier réflexe quand vous constatez une attaque sur un de vos serveurs ?
# Defense des consommateurs et Internet ?
Posté par Vincent Favre-Nicolin . Évalué à 9.
Il est effectivement necessaire de changer la loi en France, qui protege les droits des marques de la meme facon que l'image des dictateurs dans les republiques bananieres (et qui empeche pratiquement de critiquer).
Mais le plus important, ce serait d'avoir des associations de defenses de consommateurs *puissantes* qui s'interessent a Internet, et qui ont l'habitude de defendre les consommateurs par des actions en justice. En d'autres termes, cela ne sert clairement a rien d'envoyer des emails pour dire quqnd il y a un probleme, il faut accumuler les donnees, les transmettre a l'UFC-Que Chosir (ou autre assoc) et directement porter plainte. L'assoc qui porte plainte sera peut-etre elle aussi condamnee pour piratage, mais elle aura des dommages et interets par la comdamnation de la boite pour compenser.
Conclusion: ce qui ne va pas dans ce jugement, ce n'est pas la maigre mais absurde condamnation de kitetoa, mais bien le fait qu'apparement personne n'ait essaye de porter plainte contre tati.
Donc a vos plumes (et pas vos claviers, ca ne sert a rien: pour changer le monde virtuel il faut aussi agir dans le monde reel), et ecrivez a Que Choisir/ 60 Millions de consommateurs, etc... Et merde ca veut dire que je vais devoir le faire moi aussi...
[^] # Re: Defense des consommateurs et Internet ?
Posté par Code34 (site web personnel) . Évalué à 3.
Je suis tout à fait d accord avec toi, il faut des associations de consommateurs
plus puissantes, et plus fortes sur le net. On ne peut pas rendre justice tout seul ;()
Et il faut je pense légiférer les labels, qui sont crées par des boites et qui ne reflètent
par la qualité du service. Je crois que c est justemment aux associations de consommateurs
de délivrer ces lables, et non pas à des sociétés ...
nb il y a un site de droit pour les jeunes, faites une recherche droit jeunes sur le net, je crois
qu il donne les url des sites d associations de consommateurs .
@ Code34
# La Logique à 1000 euros et la justice à deux balles Par Code34
Posté par Code34 (site web personnel) . Évalué à 0.
ça me laisse perplexe et pousse fortement la méditation sur les sites commerciaux et de services ...
déjà on voit clairement que la sécurité pour de nombreuses sociétés n'est pas dans leurs objectifs,
des chiffres avait été publié , je crois que 50 % des sites web ne se préocupaient pas de la sécurité ...
Ce qui veut simplement dire qu on a acces à tes infos persos sur le web
Pour rajouter par dessus, les problemes de sécurité; on pourra pas me faire dire le contraire
il y a quand meme pas mal de cyberarnaqueurs. J'ai commandé trois fois en ligne avec paiement à la
réception de la commande, il y a un an ... j ai jamais rien reçu ....
et le pire , je crois que ce sont les données publiées à votre insu, ou bien
sous le gage d'un :'ne vous inquietez pas notre système est entierrement sécurisé' qui laisse bien
souvent prévisagé le pire ...
Je n utilise plus ma ligne de mobile depuis 4 mois,
pourtant des appels sont toujours passés dessus, et SFR refuse d admettre que quelqu un
utilise ma ligne à ma place [..] S il ne s agit pas d un piratage info c est quoi ?
a propos , j avais publié un post sur les cgus concernant Aol,
comme je l ai dis les contrats pour les illimités 24/24 sont virtuels
impossible de remettre la main dessus ;)
il est toujours possible de se faire entendre rapidement si vous voyez
qu on abuse de vous en vous estorquant des fonds frauduleusement en
appellant le tribunal d instance a coté de chez vous (le 12 pour les paresseux ;),
en demandant un formulaire d injonction de faire (gratuit , qu ils vous envoient rapidement),
et en envoyant une mise en demeurre à votre contracteur leurs sommant d executer leurs services.
Achetez en ligne dans ces conditions , c'est une grosse blague ;() le probleme
c est que meme si il y a des petits sites honnetes les grosses boites leurs font de l ombre
dans tous les sens du terme ...
Pour le site tati, déjà la position est double :
ils invoquent un procès contre quelqu un qui a accès à des données publiques,
qui n ont donc rien de confidentiels, car il suffisait de cliquer sur un lien au détour
d un moteur de recherche pour acceder à ces informations
Donc déjà on peut considérer deux choses:
Prendre les ref de la dite société, et controller que cette sociétée adhère à la charte informatique
et liberté. Si oui, informé l'organisme que la dite société ,ne respecte en rien cette charte car elle publie
et donne accès à tout les utilisateurs du web des informations privées concernant les utilisateurs.
Ce qui prévaudra à la dite société d etre assignée en justice par ces clients .
deuxièmenent , si la personne a accèdé à ces données à partir d'un moteur de recherche ou d un outils de recherche,
on peut admettre que la personne n avait pas l intention de nuire, et qu elles est tombée sur ces informations par idnavertance.
En fait tout le probleme réside ici, l 'activité du site montre que l auteur recherche
des failles de sécurité. Ca n est pas reellement comme si, il tombait dessus par idnavertance, et qu il
en prevenait le proprio. Cependant, il faut mettre dans la balance, que d autres utilisateurs meme
sans chercher ont acces à ces informations, ainsi que d autres moins scrupuleux qui cherchent aussi ;)
@+Code34
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 4.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # sfr sous coffre ...
Posté par Code34 (site web personnel) . Évalué à 2.
En plus, j ai arrété de les payer suite à tout ces problemes depuis 5 ou 6 mois, et au lieu de suspendre le contrat comme on se doit de le faire quand on arrive dans ce type de situation, ils continueant à vouloir prélever sur mon compte, et à me facturer [..]
Si vous etes dans mon cas, ou vous vous retrouvez avec des factures hallucinnantes non justifiées, demandez une suspension de prélevement à la banque et envoyé une lettre recommandé au contractant en demandant une suspension de services, arreté immédiatement d'utiliser le service en question. Si le contractant ne s'éxecutent pas, et qu ils s acharnent à vouloir continuer de prélever sur votre compte et à vous facturer, il est entierrement dans son tord .
@+
Code34
# interrogation
Posté par dva (site web personnel) . Évalué à 6.
[^] # interronégation
Posté par Jul (site web personnel) . Évalué à 4.
La seule meilleure manière que je connaisse est d'envoyer des mails d'avertissement à abuse ( domain ( ip ) ).
Habituellement si le piratage n'est pas clairement défini dans le droit, il l'est toujours dans les chartes d'utilisation de moyens informatique (voir la condamnation pour spam).
Il est plus efficace d'utiliser des moyens simples.
PS quelqu'un connait il un script permettant de repérer des attaques code red dans les logs apache et de générer directement des mails à partir du whois sur le domaine de l'adresse IP ?
# Ca rappelle l'affaire Humpich
Posté par DPhil (site web personnel) . Évalué à 7.
http://parodie.com/humpich/(...)
[^] # Re: Ca rappelle l'affaire Humpich
Posté par Francois Revol (site web personnel) . Évalué à 5.
Moralité: quand vous découvrez une faille, au lieu de la publier, postez la sur comp.hack.ru :)
Non mais ! (nan j'ai rien contre les Russes)
# La reponse de kitetoa
Posté par zeb . Évalué à 8.
Donc pour resumer kitetoa a un sursis de cinq ans pour cette amende, mais Tati a ete deboute de sa plainte au civil. C'est donc un jugement mi-figue mi-raisin, qui pose le probleme de la liberte d'expression, ici sujette a la menace du paiement d'une amende. Ca laisse reveur et donne la porte ouverte aux rigolos de chez ZeBank ou Atos...
Notez que le juge a bien compris la technique, puisqu'il l'expliquait meme a l'avocate de Tati durant le proces !!!
Maintenant ce qui serait interessant (bien que theorique) c'est que les personnes dont les donnees personnelles n'ont pas ete assez protegees sur le site portent plainte a leur tour contre Tati.
[^] # Re: La reponse de kitetoa
Posté par Gloo . Évalué à 4.
La tendance aujourd'hui c'est plutôt, la "tentative", la "possibilité", la "volonté" de ...
Bref, j'imagine que meme si je ne suis pas directement concerné, etant un client potentiel, je peux porter plainte ( via une assoc ou autre ).
[^] # Re: La reponse de kitetoa
Posté par pfrenard . Évalué à 2.
Je suis pas sur que cela soit faisable, mais c'est je pense la meilleure des solutions.
RuZed
# ca me semble important.
Posté par imr . Évalué à 3.
Apparemment le jugement est clair, kitetoa pas coupable. Le truc à payer semble plus être un moyen d'éprouver les réelles motivations de kitetoa puisque le juge semble avoir bien compris le coté technique de l'affaire.
Il faut maintenant qu'ils se contentent pas du "c'est du sursis, on va pas payer" et qu'ils continuent en appel pour défendre leur biftek, qui est important, à savoir:
Ils ont respecté la maniére qu'a internet de se sécuriser: on prévient les admins, on attend, on diffuse la faille pour que d'autres en profitent (au sens sécurité de "profiter", pour éliminer la faille d'autres systémes) voire pour pousser les administrateurs incompétents ou feignants à agir.
Puisqu'ils n'ont rien fait de délictueux , il faut maintenant qu'il fasse reconnaitre qu'ils ont essayé en fait d'aider tati, et que c'est ceux ci qui ont essayé de se couvrir de leurs erreurs en se servant de la justice.
Peut être même qu'il faudrait une association de professionnels de la sécurité informatiques qui se créent et qui agisse dans ce sens:
se porter partie civile dans des cas ou la loi qui oblige à sécuriser ses services n'est pas appliqué, puisque c'est dans le cadre du bien comun et défendre les professionnels dans des cas similaires.
Un internet plus sécurisé techniquement est un internet qui n'a pas besoin de lois dures pour se protéger.
On y a tous intérêt.
[^] # Re: ca me semble important.
Posté par Gloo . Évalué à 2.
J'espère sincèrement qu'il y aura appel, et qu'a son tour, tati va être attaqué et condamné.
C'est le full disclosure qui permet que le respect de la vie privée soit protégé, et que le reseaux dans son ensemble (entreprises ou pas ) soit moins vulnérable. Les admins n'ont pas eu besoin de reflexion à l'assemblée nationale et qu'une loi soit pondue pour le comprendre et l'appliquer. Sans doute, un juge qui fait respecter l'esprit de la loi, le peut aussi.
Bref, tati ( ou l'admin/sous-traitant/fournisseur proche de la direction ) prend la justice comme terrain de jeux pour faire porter la responsabilité de SON incompétence sur kitetoa.
- Tenter de mettre en danger le fonctionnement du reseau et la protection de la vie privée par une jurisprudence acquise en attanquant un particulier.
- Instrumentaliser la justice pour regler ses problèmes internes de pouvoir.
Ca doit bien être 2 choses condamnables.
[^] # Re: ca me semble important.
Posté par imr . Évalué à 1.
La capacité à réguler l'internet sans besoins de lois devra être démontré dans chaque domaine de la société. Pour la justice ca se fera en partie au cours de procés, c'est son mode opératoire principal.
"Les admins n'ont pas eu besoin de reflexion à l'assemblée nationale et qu'une loi soit pondue pour le comprendre et l'appliquer"
En l'occurence c'est, ici , le juge qui a besoin que cela soit démontré, sa compréhension du probléme est déja un pas en avant, mais cela doit ressortir du procés noir sur blanc, ce n'est pas son role d'affirmer, il doit juger.
AIlleurs, c'est les députés qui ont besoin d'être informés. Comme noel mamére avait fait, par exemple, avec la visite de stallman à l'assemblée.
Enfin, on verra quand le procés sera publié.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.