Zataz condamné après avoir filé un coup de main à une société
Un coup de main, un coup de poing
Zataz aura mis les doigts un peu trop profondément dans une faille électrique : Damien Bancal, journaliste derrière ce site, a été condamné en référé après avoir tenté de donner un coup de main à une société au système visiblement problématique.
Fin septembre, un lecteur contacte notre confrère pour l’avertir d’un fait pour le...
Zataz aura mis les doigts un peu trop profondément dans une faille électrique : Damien Bancal, journaliste derrière ce site, a été condamné en référé après avoir tenté de donner un coup de main à une société au système visiblement problématique.
Fin septembre, un lecteur contacte notre confrère pour l’avertir d’un fait pour le moins piquant : un moteur de recherche de FTP basé en Russie, laisse entrevoir de curieux fichiers dans les serveurs d’une société française (Zataz a été contraint en référé à taire son nom).
Sauf que… « le moteur de recherche a aspiré le répertoire (...) d'un espace FTP en accès libre. Celui de la société en question ». Pour pousser un peu plus loin l’analyse, et vérifier les dires du lecteur, il répète la procédure et saisit deux ou trois mots clés très communs qui débouchent effectivement sur des données d’apparence exotique.
Des comptes bancaires, des docs administratifs...
En quelques instants, il n’aura pas été très compliqué de se rendre compte de la présence d'un lot d’informations et de répertoires sensibles qui n’auraient pas dû être aspirés par le moteur de recherche. « Il suffisait ensuite de cliquer sur les liens proposés par le moteur de recherche pour se retrouver dans des comptes bancaires, des documents administratifs, marketing, appartenant à cette société » explique Zataz qui jure n’avoir rien sauvegardé si ce n’est via la mémoire « cache de mon navigateur lors du clic de souris sur le lien donné par le moteur de recherche ».
La société est contactée et finit par le remercier du signalement. Comme souvent dans pareilles situations, Zataz rédige une actualité pour relater les faits (sans indiquer l’adresse du serveur…) et rappeler à la société ses impératifs de sécurisation imposés par la loi informatique et liberté. Une goutte d’eau et des propos qui auront la saveur de l’acide ?
Une demande de retrait d'article et un soupçon de piratage
Le 24 décembre, il reçoit une notification par huissier lui indiquant que la société avait intenté une procédure d’urgence (référé d’heure à heure) pour exiger le retrait du papier. Ce qu’il fait sur le champ. Mi-janvier, Damien est entendu par le juge du tribunal de grande instance de Paris. Les frais commencent alors à s’amonceler avec 6000 euros d’avocat, près de 700 euros de constats d’huissier, en sus des déplacements sur Paris… On parle maintenant de piratage (accès illicite) et la société assigne l’intéressé au fond devant le tribunal correctionnel (jugement en février prochain), pour diffamation.
Une procédure aidée d'une expertise
Dans les premiers temps de la procédure, une expertise est organisée. Selon les propos de Damien Bancal (l’expertise et le jugement ne sont pas encore disponibles), le rapport conclue en estimant que l'accès de Damien aux données référencées « était la résultante obligatoire d'un piratage ». Pour appuyer son analyse, l'expert signale « l'apparition d'un étrange login "Anonymous" dans les logs de l'entreprise ».
« Pour l'expert de cette société, aucun doute, ce sont de mystérieux codes pirates. Pour avoir une explication de l'existence de ces « mystérieux codes », il aurait suffi de lire un article diffusé par l'université de Marseille traitant de ce Monsieur Anonymous « ANONYMOUS : pour permettre les accès publics sous le compte anonymous sans avoir a donner de mots de passe secret. (Dans ce cas, seule l'adresse de messagerie suffit comme mot de passe). » Dans les trois cas des logs de l'entreprise, le code USER et PASS sont générés automatiquement par les navigateurs Firefox (Mozilla@example.com) et Internet Explorer (IEUser@; ieuser@microsoft.com) lors d'une connexion autorisée ! »
Autre explication, les logs de la société montrent que le moteur de recherche FTP avait parcouru les données du serveur par deux fois en septembre, en laissant derrière l'ip et le nom du robot référenceur dénommé « Anonymous »...En clair, ces traces d'Anonymous ont tout simplement été générées automatiquement par le moteur ou à l'aide d'un simple navigateur...
La justice exige le retrait de l'article
Finalement, devant le TGI de Paris, Zataz est bien condamné en référé. La justice lui ordonne « de procéder à la suppression de toutes données ou fichiers en sa possession auxquels il a pu accéder sur le serveur de la société X ». En clair de tout gommer, tout effacer. Le juge lui fait en outre « interdiction de procéder à la publication ou la diffusion de tous contenus s’y rapportant », le tout sous astreinte de 400 euros par jour et infraction constatée. Damien Bancal est encore condamné à 1200 euros au pour le remboursement des frais de justice…
« Ce qui est "rassurant", dans cette ordonnance, explique Damien, un peu surpris de cette première après 18 ans d’activité presse, est le fait que le verdict (…) semble indiquer que les données étaient bien accessibles ! Mais ce n'est pas le problème. Mission avouée de l'entreprise, faire disparaître l'article »
Zataz aura mis les doigts un peu trop profondément dans une faille électrique : Damien Bancal, journaliste derrière ce site, a été condamné en référé après avoir tenté de donner un coup de main à une société au système visiblement problématique. Fin septembre, un lecteur contacte notre confrère pour l’avertir d’un fait pour le moins piquant : un moteur de recherche de FTP basé en Russie, laisse entrevoir de curieux fichiers dans les serveurs d’une société française (Zataz a été contraint en référé à taire son nom).
Sauf que… « le moteur de recherche a aspiré le répertoire (...) d'un espace FTP en accès libre. Celui de la société en question ». Pour pousser un peu plus loin l’analyse, et vérifier les dires du lecteur, il répète la procédure et saisit deux ou trois mots clés très communs qui débouchent effectivement sur des données d’apparence exotique.
Des comptes bancaires, des docs administratifs...
En quelques instants, il n’aura pas été très compliqué de se rendre compte de la présence d'un lot d’informations et de répertoires sensibles qui n’auraient pas dû être aspirés par le moteur de recherche. « Il suffisait ensuite de cliquer sur les liens proposés par le moteur de recherche pour se retrouver dans des comptes bancaires, des documents administratifs, marketing, appartenant à cette société » explique Zataz qui jure n’avoir rien sauvegardé si ce n’est via la mémoire « cache de mon navigateur lors du clic de souris sur le lien donné par le moteur de recherche ».
La société est contactée et finit par le remercier du signalement. Comme souvent dans pareilles situations, Zataz rédige une actualité pour relater les faits (sans indiquer l’adresse du serveur…) et rappeler à la société ses impératifs de sécurisation imposés par la loi informatique et liberté. Une goutte d’eau et des propos qui auront la saveur de l’acide ?
Une demande de retrait d'article et un soupçon de piratage
Le 24 décembre, il reçoit une notification par huissier lui indiquant que la société avait intenté une procédure d’urgence (référé d’heure à heure) pour exiger le retrait du papier. Ce qu’il fait sur le champ. Mi-janvier, Damien est entendu par le juge du tribunal de grande instance de Paris. Les frais commencent alors à s’amonceler avec 6000 euros d’avocat, près de 700 euros de constats d’huissier, en sus des déplacements sur Paris… On parle maintenant de piratage (accès illicite) et la société assigne l’intéressé au fond devant le tribunal correctionnel (jugement en février prochain), pour diffamation.
Une procédure aidée d'une expertise
Dans les premiers temps de la procédure, une expertise est organisée. Selon les propos de Damien Bancal (l’expertise et le jugement ne sont pas encore disponibles), le rapport conclue en estimant que l'accès de Damien aux données référencées « était la résultante obligatoire d'un piratage ». Pour appuyer son analyse, l'expert signale « l'apparition d'un étrange login "Anonymous" dans les logs de l'entreprise ».
« Pour l'expert de cette société, aucun doute, ce sont de mystérieux codes pirates. Pour avoir une explication de l'existence de ces « mystérieux codes », il aurait suffi de lire un article diffusé par l'université de Marseille traitant de ce Monsieur Anonymous « ANONYMOUS : pour permettre les accès publics sous le compte anonymous sans avoir a donner de mots de passe secret. (Dans ce cas, seule l'adresse de messagerie suffit comme mot de passe). » Dans les trois cas des logs de l'entreprise, le code USER et PASS sont générés automatiquement par les navigateurs Firefox (Mozilla@example.com) et Internet Explorer (IEUser@; ieuser@microsoft.com) lors d'une connexion autorisée ! »
Autre explication, les logs de la société montrent que le moteur de recherche FTP avait parcouru les données du serveur par deux fois en septembre, en laissant derrière l'ip et le nom du robot référenceur dénommé « Anonymous »...En clair, ces traces d'Anonymous ont tout simplement été générées automatiquement par le moteur ou à l'aide d'un simple navigateur...
La justice exige le retrait de l'article
Finalement, devant le TGI de Paris, Zataz est bien condamné en référé. La justice lui ordonne « de procéder à la suppression de toutes données ou fichiers en sa possession auxquels il a pu accéder sur le serveur de la société X ». En clair de tout gommer, tout effacer. Le juge lui fait en outre « interdiction de procéder à la publication ou la diffusion de tous contenus s’y rapportant », le tout sous astreinte de 400 euros par jour et infraction constatée. Damien Bancal est encore condamné à 1200 euros au pour le remboursement des frais de justice…
« Ce qui est "rassurant", dans cette ordonnance, explique Damien, un peu surpris de cette première après 18 ans d’activité presse, est le fait que le verdict (…) semble indiquer que les données étaient bien accessibles ! Mais ce n'est pas le problème. Mission avouée de l'entreprise, faire disparaître l'article »
Le 29 janvier 2009 à 17:10
(37 062
lectures)
Soutenez l'indépendance de PC INpact en devenant Premium
- Tout le contenu de PC INpact sans pub
- Et bien plus encore...
Il y a 147 commentaires
INpactien
snowers
Le jeudi 29 janvier 2009 à 17:16:14
#1
Inscrit
le vendredi 14 septembre 07
-
667
commentaires
C'est fou ! Ils font les conneries, et c'est le petit journaliste qui passe par là qui paye... 
INpactien
Rien compris, je relirais ça au calme.
INpactien
sans deconner 
ok donc en fait ils font passer une fonction native des serveurs FTP, fonction bien connue pour sa dangerosité potentielle si mal utilisée, pour du piratage alors qu'en fait, c'est tout bêtement l'admin qui a "oublié" de désactiver le compte anonyme sur le serveur (ou de le rediriger vers un endroit neutre)
c'est clairement une non-sécurisation du serveur, pas une faille ou un piratage
c'est comme si on laisse la porte de chez soi grande ouverte, faut pas s'étonner si qqun entre et pique la tv, et un tel cas n'est d'ailleurs par couvert par les assurances, car pas d'effraction
on nage en plein délire la non?
Edité par nikon56 le jeudi 29 janvier 2009 à 17:22
« Pour l'expert de cette société, aucun doute, se sont de mystérieux codes pirates. Pour avoir une explication de l'existence de ces « mystérieux codes », il aurait suffi de lire un article diffusé par l'université de Marseille traitant de ce Monsieur Anonymous « ANONYMOUS : pour permettre les accès publics sous le compte anonymous sans avoir a donner de mots de passe secret.
ok donc en fait ils font passer une fonction native des serveurs FTP, fonction bien connue pour sa dangerosité potentielle si mal utilisée, pour du piratage alors qu'en fait, c'est tout bêtement l'admin qui a "oublié" de désactiver le compte anonyme sur le serveur (ou de le rediriger vers un endroit neutre)
c'est clairement une non-sécurisation du serveur, pas une faille ou un piratage
c'est comme si on laisse la porte de chez soi grande ouverte, faut pas s'étonner si qqun entre et pique la tv, et un tel cas n'est d'ailleurs par couvert par les assurances, car pas d'effraction
on nage en plein délire la non?
Edité par nikon56 le jeudi 29 janvier 2009 à 17:22
INpactien
Cacahuete586
Le jeudi 29 janvier 2009 à 17:19:02
#4
Inscrit
le dimanche 9 avril 06
-
665
commentaires
INpactien
Anonymous, c'est pas le nom du login FTP anonyme ? 
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
Il y a 147 commentaires
-
Insolite : un designer fâché par le diaporama hideux de PRISM
(42)
Leçon de présentation -
L'agent Ma-Config mis à jour pour se débarrasser de certains soucis
(14)
Fini les blocages avec certains antivirus -
Paul Thurrott affirme que Windows 8.1 sera disponible le 1er août
(12)
Un bêta test qui serait donc très court -
iTunes 11.0.4 remet à l'honneur les pochettes d'albums
(7)
Fini les demandes intempestives...
Comment profiter du nouveau Google Maps sans invitation
Les chats gouvernent Internet, cela passe donc par les cookies
-
Des GeForce GTX 770 à partir de 335,51 €
Valable jusqu'au 23 juin -
99,90 € pour un disque dur Toshiba de 3 To en S-ATA 6 Gb/s
Valable jusqu'au 20 juin -
Une GeForce GTX 680 avec le jeu Metro Last Light pour 299,90 €
Valable jusqu'au 21 juin -
Un iPad 2 blanc de 16 Go pour 349 €
Valable jusqu'au 23 juin
