Le Times Piraté!

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
6
mar.
2002
Pirate
Le pirate connu Adrian Lamo, a réussis à pénétrer les systèmes du New-York Times. Banal vous me direz mais il avait sous la main la liste de tous les contributeurs du New-York Times incluant les anciens présidents, etc. Il a même pris le soin de se rajouter à la liste en tant que "Hacker" professionel ;)

Un gros bravo à ce monsieur puisqu'il n'a pas propagé la nouvelle, il a préféré se rendre au New-York Times afin de démontrer sa découverte. Ceux-ci ont apprécié le geste et l'auraient même engagé afin de colmater la faille.

Aller plus loin

  • # lamer professionnel

    Posté par  . Évalué à -7.

    "Un gros bravo"
    ...
    pour moi.

    Ben oui, quand je conduis, ça m'arrive de prendre des sens interdits, et ben j'écrase pas les piétons. C'est fort ça non ?

    Ca m'énerve ces mecs qui ont certes une forte compétence technique et qui l'utilisent pour faire les malins.
    Un mec qui rentre chez moi par effraction, je lui c.. la g.. même s'il a rien volé, le vertueux !

    Pfff, allez -1
    • [^] # Re: lamer professionnel

      Posté par  (site Web personnel) . Évalué à 10.

      C'est d'ailleur pourquoi beaucoup de société, qui n'aprouvent pas du tout ce genre de pratiques refusent d'engager la personne, d'ailleur le type a eu de la chance car desormais, la plupart du temps, la sociéé en question attaque en justice ladite personne (et gagne a tout les coups).

      Mais bon, beaucoup de sociétés emploient des hacker (mais shuut), tout en disant qu'ils refusent ce genre de pratiques.

      [moua]
    • [^] # Re: lamer professionnel

      Posté par  . Évalué à 10.

      Un mec qui rentre chez moi par effraction, je lui c.. la g..
      sauf que si tu compares à ta maison tu dois comparer à une maison que tu loues à plein de gens,
      ne serait tu pas heureux qu'un des locataires viennent te dire qu'il y a une fuite d'eau dans la salle de bain?
      • [^] # Re: lamer professionnel

        Posté par  (site Web personnel) . Évalué à 1.

        Pour faire une analogie correcte, il serait plutôt question de quelqu'un qui n'est pas locataire qui viendrait signaler qu'il a observé les locataires en passant pas un trou dans le grillage du jardin.
        • [^] # Re: lamer professionnel

          Posté par  . Évalué à 1.

          oui, mais la en plus, tout grand site se doit d'être sécurisé (pour la même raison que y'a surement des gardiens dans l'édifice du times)

          donc je suis sur que le chef de sécurité aimerait que tu lui dises qu'on peut entrer voir les dossiers utlra-confidentiels en creusant un passage qui arrive entre les mur et en passant par le système de ventillation praticable si on enlève la fan dans le coin de la 3eme toilette du 5 étage

          je crois donc que l'édifice commercial est plus approprié que maison
    • [^] # Re: lamer professionnel

      Posté par  (site Web personnel) . Évalué à 3.

      «Ca m'énerve ces mecs qui ont certes une forte compétence technique et qui l'utilisent pour faire les malins.»
      Il a 21 ans, il cherchait du boulot, il en a trouvé, sans être poursuivi pénalement.
      Et il aura une meilleure bécane:
      «The Sacramento native, who admittedly uses an archaic laptop (Windows 98, 64 MB of RAM, Pentium III 600mhz, broken keyboard) and free workstations at Kinko's for his hacking exploits»
      Il va pouvoir plus que changer son clavier: acheter une de ces jolies bestioles qui le faisaient baver en magasin.

      Ceci dit, le h4ck1n9 de gros sites, avec handicap comme au golf, ça mérite plus qu'une veste verte...

      Ah! la fougue de la jeunesse.
      hem -1
    • [^] # Euuh ! Dites,ce n'est pas vous qui criait pour aider Kitetoa ?

      Posté par  . Évalué à 10.

      Je voulais juste signifier que Kitetoa faisait le même genre de chose et tout le monde ici trouvait cela bien.

      Pour des raisons de protection de la vie privé et de sécurité de l'information, on saluerait le travail de Kitetoa et non pour un gas isolé qui ferait la même chose ?

      "La première sécurité est la liberté"

      • [^] # Re: Euuh ! Dites,ce n'est pas vous qui criait pour aider Kitetoa ?

        Posté par  (site Web personnel) . Évalué à 10.

        Hum, oui, c'est un peu vrai ce que tu dis. (un peu seulement).

        Moi perso la démarche du hacker me gène un peu (c'est tout de même mal) mais pas trop dans l'optique ou il ne fait aucun chantage pour être embaucher ni aucune divulgation publique (visiblement il y en a eu une quand meme vu qu'on a la news).

        Maintenant quelqu'un plus bas a dit en gros "si on entre par effraction dans ma maison, meme si c'est pour me le dire apres je lui casse la gueule".

        Imaginons une voiture : le hacker a probablement forcé la serrure pour rentrer (utiliser des failles récentes, spoof et autres joyeusetés), pose un objet à lui dans la voiture (une donnée dans la base), et demande une récompense (emploi). Kitetoa s'est contenté de voir que la porte n'était pas fermée à clé (demander des url en remontant dans l'architecture et utiliser des méthodes simples à la portées de tout le monde) et de prévenir sans rien demander que la fermeture de la porte.

        Un gars qui force la serrure et me dit que la voiture n'est pas protégée pour me demander une récompense je ne le remercierais pas forcément, par contre un gars qui me dit que ma porte de voiture est restée ouverte sans rien me demander je le remercierais.

        Sauf si je me trompe la démarche de kitetoa est moins violente et sans volonté de gain personnel. Mais c'est vrai que tu as raison de raprocher les deux, les gens ont vite fait de faire des grosses séparations là où la différence est plutot légère (lui est un méchant HaXoR et lui une gentil assoc qui milite pour la sécurité). C'est vrai qu'on voit la démarche de la boite qui a mené kitetoa devant la justice sous un autre jour.
      • [^] # Re: Euuh ! Dites,ce n'est pas vous qui criait pour aider Kitetoa ?

        Posté par  . Évalué à 4.

        Je voulais juste signifier que Kitetoa faisait le même genre de chose et tout le monde ici trouvait cela bien.

        Heu ...
        Kiletoa, ils ont jamais modifié les fichiers, juste regardé ce qu'on pouvait voir avec un simple navigateur. J'me gourre là ?

        --
        Voltaire(grosso-modo) : "je ne suis pas d'accord avec vos opinions, mais je me battrais pour que vous puissez les dire."
        Un anonyme : "je ne suis pas d'accord avec vos opinions, mais je ne voterais pas contre (ni pour) sur linuxfr." :))
  • # mes «mésaventures»

    Posté par  . Évalué à 10.

    Malheuresement ça ne se passe pas toujour aussi bien:

    voici ce qui m'est arrivé un jour:
    j'étais stagiaire webmaster. J'avais moi même mon site, et il référençait toutes les pages à partir desquelles on était venu sur ma page (pour savoir qui me référençait).
    Un matin je tombe sur un nouveau lien, je regarde ce à quoi il mène et je me retrouve sur une page d'admin d'un site d'annuaire de pages (comme yahoo), en fait cette page listait les pages allant être placées sur l'annuaire après modération. Je parcour les liens proposés de cette page d'admin et me retrouve avec la possibilité de faire tous les trucs des admins (consulter fiches clients, ajouter/retirer des sites, ...).
    Sympa, je ne fais rien et envoie un mail au webmaster pour le prévenir du problème (je dois avouer que mon mail était quelque peu moqueur) lui expliquant même comment remédier au problème (avec des fichiers .htaccess sous apache), je signe, j'envoie.
    10 min plus tard une secrétaire vient dans mon bureau, le directeur de mon département (école d'ingé) veut me parler c'est super urgent.
    Je l'appèlle et il m'apprend super flippé que la boite avait appelé et voulait porter plainte contre moi et contre mon école et que je dois appeler tout de suite le pdg de la boite (j'avais signé mon mail Cédric Foll, étudiant à ... tout ça).
    J'ai franchement flippé, je ne connaissais pas encore grand chose à l'informatique (et en particulier au domaine de la sécurité), j'avais pas vraiment l'impression d'avoir fait un truc grave et on voulait porter plainte contre moi (aujourd'hui une telle annonce me ferais plutôt marrer (je bosse maintenant dans la sécu) mais à l'époque je savais pas à quel point porter plainte pour ça serait ridicule).
    Donc j'appèle le PDG de la boite, le mec se calme je lui explique bien ce qui s'est passé. Finalement il m'a demandé de lui envoyer un mail expliquant que je ne divulguerais pas les infos que j'avais pu voir tout ça... (comme ça m'apparait crétin aujourd'hui ;-)) et que j'explique à leur admin réseau comment interdir l'accès à certaines pages (et qu'il ne suffit pas d'avoir une url compliquée référencée nul part pour que personne n'aille dessus).

    Cette boite est une start-up toujours debout et j'ai failli faire mon stage suivant chez eux.

    Depuis, il est hors de question pour moi d'informer l'admin quand je trouve qq chose qui cloche sur un site et de toute façon je cherche surtout pas à découvrire quelque chôse de travers(sauf quand je fais un test d'intrusion, of course)

    Moralité faut pas qu'une annonce comme celle du site du Time incite les petis jeunes à faire les cons. Tout le monde est pas sympa (ni dans mon cas compétent.)
    • [^] # Déboutés au tribunal

      Posté par  (site Web personnel) . Évalué à 10.

      C'est ce qui leur serait arrivé pour la simple et bonne raison qu'ils n'ont pas mis une seule sécurité sur leur site (ni cookie, ni .htaccess ,ni httpd.conf paramétré). Et surtout, le fait que tu leur a laissé toutes tes coordonnées.

      Ce qui démontre ta bonne foi.
      Mais bon, ça ressemble aux mésaventures de Kitetoa, mais bien souvent, ce sont des menaces en l'air. Faudrait avoir un copain/copine juriste qui sait configurer son Linux.

      Mais oui, ça existe! Salut Walou [P-)
      • [^] # Re: Déboutés au tribunal

        Posté par  (site Web personnel) . Évalué à 4.

        D'ailleurs dans un cas comme celui-là (un cas d'école, oserais-je dire ;)), on ne peut pas parler d'intrusion étant donnée qu'il n'a contourné ou forcé aucun système de sécurité (et pour cause).

        Il n'a fait que naviguer et cela n'est pas [encore] interdit par la loi...
    • [^] # Re: mes «mésaventures»

      Posté par  . Évalué à 3.

      On a un gros problème en sécurité aujourd'hui: la différence entre pirater et sécuriser, qui est extrêmement floue. Toute personne faisant des tests d'intrusion, des audits, de la crypto... doit se protéger juridiquement.
      D'ailleurs, le simple fait de signaler à un administrateur une faille de sécurité peut prouver que vous avez essayé de pénétrer le système. On trouve rarement des trous de sécurité complètement par hasard.
      On a déjà vu en sécurité des boîtes se faire attaquer en justice alors qu'elles faisaient un audit. C'est simple: suffit de trouver chez l'isp du client (par exemple) des trous de sécurité gros comme des mammouth, et là l'isp vous attaque pour vous faire taire, et pour éviter du chantage (au contrats, ou autres...)

      La sécurité, c'est *hyper chaud* faut se protéger un maximum. De nombreuses personnes et sociétés en ont déjà fait les frais. Il faut autant se méfier des clients, que des isp, que des pirates. (et que le plus parano survive!)
  • # En allemenand ?

    Posté par  . Évalué à 3.

    C'est normal le drapeau allemand pour un texte en anglais ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.