IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 189
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 189
    Points : 149 284
    Points
    149 284
    Par défaut Les États-Unis ont connu la plus grosse fuite de données des électeurs jamais observée
    Les États-Unis ont connu la plus grosse fuite de données des électeurs jamais observée,
    à cause d'un service de stockage de données en ligne qui n'a pas été sécurisé

    Les données personnelles et les informations de profil sur des millions d'électeurs américains ont été exposées dans ce qui a été catégorisé comme étant « la plus grande fuite de son genre ».

    Au total, 198 millions d'enregistrements ont été trouvés stockés sur un Amazon S3, un service de stockage de données en ligne, appartenant à Deep Root Analytics, une société républicaine d'analyse de données et qui n'a pas été sécurisé par les administrateurs. Pour l’équipe Cyber Risk du cabinet de sécurité UpGuard, les données, qui remontent à plus d'une décennie, comprennent des informations sur tous les électeurs américains enregistrés.

    « Les données, stockées sur un serveur cloud accessible au public appartenant à la société de données républicaine Deep Root Analytics, comprenaient 1,1 téraoctet d'informations personnelles entièrement non sécurisées compilées par DRA et au moins deux autres entrepreneurs républicains, TargetPoint Consulting, Inc. et Data Trust. Au total, les informations personnelles de potentiellement près de l'ensemble des 200 millions d'électeurs enregistrés en Amérique ont été exposées. Parmi ces informations figuraient les noms, les dates de naissance, les adresses de domicile, les numéros de téléphone et les détails de l'inscription des électeurs, ainsi que les données décrites comme appartenant à des groupes ethniques et des religions électeurs “modélisés” ».

    Et de continuer en expliquant que cette divulgation éclipse les violations antérieures des données électorales au Mexique (également découvertes par Vickery) et aux Philippines de plus de 100 millions d’individus, exposant les informations personnelles de plus de 60 % de la population américaine entière.

    « L'exposition des données donne un aperçu du fonctionnement interne de l'opération de données de 100 millions de dollars du Comité national républicain pour l'élection présidentielle de 2016 », ironise le cabinet.

    « Deep Root Analytics, TargetPoint et Data Trust faisaient partie des entités embauchées par le RNC (Republican National Committee ) qui servaient de base à l'équipe de données électorales générales de la campagne Trump en 2016, dans le but d'influencer les électeurs potentiels et de prédire avec précision leur comportement. Le dépôt de données RNC a fini par acquérir environ 9,5 milliards de points de données concernant trois Américains sur cinq, ce qui représente 198 millions d'électeurs américains potentiels sur leurs préférences politiques probables en utilisant une modélisation algorithmique avancée dans quarante-huit catégories différentes. »

    Avec plusieurs magasins de données utilisant un « ID RNC » alphanumérique à 32 caractères, il est non seulement possible d'identifier de manière unique les personnes référencées dans la base de données, mais aussi de rassembler de nombreuses informations à leur sujet. L'information était initialement destinée à être utilisée par les candidats politiques pour cibler les électeurs potentiels et adapter leurs campagnes de manière appropriée.

    À l'heure actuelle, il n'est pas clair si quelqu'un d’autre qu’UpGuard a eu accès aux données. Cependant, compte tenu du fait que tout ce qu’il fallait pour pouvoir visiter la base de données n’était pas complexe, les chances que les informations puissent tomber dans les mauvaises mains sont élevées.

    Source : UpGuard

    Voir aussi :

    Un ancien administrateur IT de l'hébergeur hollandais Verelox efface toutes les données des utilisateurs et formate les serveurs de l'entreprise
    Les ventes mondiales de serveurs ont connu un déclin de près de 5 % au premier trimestre 2017, d'après Gartner
    Vault 7 : WikiLeaks révèle Pandemic, un outil de la CIA qui s'appuie sur un serveur Windows pour infecter des machines dans un réseau ciblé
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre extrêmement actif
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2008
    Messages
    8 167
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : décembre 2008
    Messages : 8 167
    Points : 14 543
    Points
    14 543
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    L'information était initialement destinée à être utilisée par les candidats politiques pour cibler les électeurs potentiels et adapter leurs campagnes de manière appropriée.
    C'est dommage que ça fonctionne comme ça...

    Les types auraient pu sécuriser leur serveur...
    Keith Flint 1969 - 2019

  3. #3
    Modérateur
    Avatar de kolodz
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    avril 2008
    Messages
    2 208
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : avril 2008
    Messages : 2 208
    Points : 8 304
    Points
    8 304
    Billets dans le blog
    51
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    L'information était initialement destinée à être utilisée par les candidats politiques pour cibler les électeurs potentiels et adapter leurs campagnes de manière appropriée.
    Je tiens à mettre en avant ce point. Je ne pense pas qu'il ai besoin de commentaire en plus...
    Si une réponse vous a été utile pensez à
    Si vous avez eu la réponse à votre question, marquez votre discussion
    Pensez aux FAQs et aux tutoriels et cours.

  4. #4
    Membre confirmé Avatar de Darktib
    Profil pro
    Inscrit en
    mai 2009
    Messages
    65
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2009
    Messages : 65
    Points : 592
    Points
    592
    Par défaut
    Les États-Unis ont connu la plus grosse fuite de données
    TargetPoint Consulting
    Data Trust
    L'ironie du sort...

  5. #5
    Membre extrêmement actif
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    mars 2015
    Messages
    1 105
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mars 2015
    Messages : 1 105
    Points : 2 528
    Points
    2 528
    Par défaut
    Ainsi ils ont des bases de données électorales complètes, approfondies et franchement intrusives. Bien au delà de la géographie électorale que tout le monde peut connaitre puisqu'il y a des statistiques ethniques, culturelles, économiques. Et ils s'étonnent ensuite d'observer des opérations de micro-ciblage pour manipuler au plus près tel ou tel groupe d'électeurs.
    "If the revolution ain't gon' be televised
    Then fuck, I'll probably miss it" - Aesop Rock

  6. #6
    En attente de confirmation mail
    Femme Profil pro
    pape n'aimant pas les censeurs
    Inscrit en
    janvier 2010
    Messages
    803
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Vatican

    Informations professionnelles :
    Activité : pape n'aimant pas les censeurs

    Informations forums :
    Inscription : janvier 2010
    Messages : 803
    Points : 1 383
    Points
    1 383
    Par défaut
    2 conclusions s'imposent:

    1. Une fois de plus, on a la preuve que les idées de Cloud et autres "j'externalise mes données auprès d'un tiers pour économiser" très en vogue auprès des entreprises est une vaste connerie

    2. Les politicards et autres administrations gouvernementales ont depuis longtemps classé le dossier "protection de la vie privé" aux oubliettes même s'ils passent leurs journées à précher la bonne parole!

    Quoique que certains disent, nul n'est à l'abris de l'incompétence d'un collaborateur d'un fournisseur de Cloud ou du manque d'éthique de beaucoup (j'ai là une pensée émue pour une certaine organisation de l'ONU qui fait la demande de dons en France en indiquant préserver la confidentialité des données de ses donateurs mais s'empresse de les commercialiser pour se faire encore plus de fric)

  7. #7
    Membre averti
    Homme Profil pro
    retraité
    Inscrit en
    avril 2009
    Messages
    240
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 88
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : retraité
    Secteur : Associations - ONG

    Informations forums :
    Inscription : avril 2009
    Messages : 240
    Points : 421
    Points
    421
    Par défaut Ah BON !
    Et oui !
    Etonnant quand même
    Les politicards et autres administrations gouvernementales ont depuis longtemps classé le dossier "protection de la vie privé" aux oubliettes même s'ils passent leurs journées à prêcher la bonne parole!

    Quoique que certains disent, nul n'est à l'abris de l'incompétence d'un collaborateur d'un fournisseur de Cloud ou du manque d'éthique de beaucoup (j'ai là une pensée émue pour une certaine organisation de l'ONU qui fait la demande de dons en France en indiquant préserver la confidentialité des données de ses donateurs mais s'empresse de les commercialiser pour se faire encore plus de fric)

    Bien d 'accord, ça se vérifie.

  8. #8
    Membre du Club
    Profil pro
    Inscrit en
    juillet 2010
    Messages
    51
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juillet 2010
    Messages : 51
    Points : 67
    Points
    67
    Par défaut
    Un nom, peut-être ? Pour alimenter le débat avec quelques amis qui ne veulent pas comprendre que l'humanitaire est un métier dont on vit très bien.
    J'ai des photos de gugusses de l'UNICEF en "vacances" dans les années 90 au Laos. Aucune action dans la région, mais c'était la belle vie. Avec leurs superbes gros 4x4 rutilants tout neufs. Les laotiens n'appréciaient que très moyennement !
    Et ils n'ont pas du tout aimé que je les prenne en photo, allez savoir pourquoi ...
    Merci d'avance.

  9. #9
    Membre à l'essai
    Homme Profil pro
    Enseignant
    Inscrit en
    août 2013
    Messages
    3
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Enseignant
    Secteur : Enseignement

    Informations forums :
    Inscription : août 2013
    Messages : 3
    Points : 11
    Points
    11
    Par défaut Vous pensez toujours à mal aussi...
    On est pas toujours obligé de tout sécuriser hein. On peut aussi avoir confiance en l'humain.
    Je me souviens d'une époque où on faisait du rlogin, du telnet et autre ftp... et on sécurisait rien.
    Il faut arrêter avec la paranoïa. Ce qui nous manque en France c'est un ministère de l'information qui contrôlerait tout ce qu'on dit, pour voir si on est de bons citoyens. Et pis de toute façon, moi je m'en fout des électeurs américains ce qui m'intéresse c'est ce qui se passe dans ma rue. Pas plus loin.
    Hop.
    Hetienn (cherchez pas c'est un pseudo et j'utilise un VPN

  10. #10
    Membre régulier
    Homme Profil pro
    Consultant informatique
    Inscrit en
    février 2014
    Messages
    47
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : février 2014
    Messages : 47
    Points : 111
    Points
    111
    Par défaut
    Rappelons qu'il y a en France le "Fichier Tes", qui rassemble entre autres information sur 60 millions de français, l'adresse physique, la photo, et lorsque c'est possible (donnée de la carte d'identité et du passeport) la signature numérisée, le téléphone, l'adresse mail, ... et probablement d'autres non officielles puisqu'il a été question à un moment d'accéder légalement aux caméras des pc, caméras wifi, à votre télé connectée, ...

  11. #11
    Membre averti
    Profil pro
    Développeur informatique
    Inscrit en
    décembre 2013
    Messages
    173
    Détails du profil
    Informations personnelles :
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : décembre 2013
    Messages : 173
    Points : 382
    Points
    382
    Par défaut
    Ce qui prouve bien que Deep Root Analytics n'a vraiment aucun respect pour la vie privée, en plus d'espionner les gens et de conserver des informations elle ne cherche même pas à en restreindre l'accès, à moins que ce soit simplement de l’incompétence ?

    D'un autre côté les citoyens américains ont au moins le privilège de savoir ce que cette société (non gouvernementale ?) stocke sur eux

    Citation Envoyé par hetienn Voir le message
    On est pas toujours obligé de tout sécuriser hein. On peut aussi avoir confiance en l'humain.
    Je me souviens d'une époque où on faisait du rlogin, du telnet et autre ftp... et on sécurisait rien.
    Il faut arrêter avec la paranoïa. Ce qui nous manque en France c'est un ministère de l'information qui contrôlerait tout ce qu'on dit, pour voir si on est de bons citoyens. Et pis de toute façon, moi je m'en fout des électeurs américains ce qui m'intéresse c'est ce qui se passe dans ma rue. Pas plus loin.
    Hop.
    Hetienn (cherchez pas c'est un pseudo et j'utilise un VPN
    Une tentative pour faire de l'humour ? Je l'espère car il serait doublement contradictoire et niais de parler de confiance tout en passant par un VPN pour une opinion sur forum

  12. #12
    Nouveau Candidat au Club
    Homme Profil pro
    Directeur technique
    Inscrit en
    juin 2017
    Messages
    0
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Directeur technique

    Informations forums :
    Inscription : juin 2017
    Messages : 0
    Points : 0
    Points
    0
    Par défaut Titre de l'article : approximation ou buzz ????
    Bonsoir,

    J'ai lu avec attention cet article, travaillant très régulièrement sur le Cloud et souvent sur AWS (le cloud d'Amazon).
    Le titre m'a interpellé, je pense que c'était le but, et quand j'ai lu le contenu (ainsi que la source en anglais) celui-ci m'a laissé perplexe.

    J'aimerais que le "Stéphane le calme" explique ce titre, et surtout la fin "à cause d'un serveur Amazon non sécurisé".

    1 - "un serveur Amazon non sécurisé" : l'article original parle d'un "bucket S3".
    Un bucket S3 n'est pas un serveur, mais un espace "privatisé" (pas forcément sécurisé) sur un ensemble de serveur sur AWS. Est-ce un manque de connaissances ou une erreur assumée pour faire du buzz ? J'aimerais que le rédacteur de l'article nous explique

    2 - "non sécurisé" : la forme de ce titre laisse à penser qu'il y a des failles sur le cloud AWS.
    Si vous utilisez un peu AWS, vous verrez que AWS assure une partie de la sécurité (shared responsibility model).
    AWS est un peu comme un serrurier qui vous fournit un verrou. Si vous ne le posez pas sur la porte ou si vous laissez la porte ouverte ce n'est pas la faute du serrurier. Le titre de l'article laisse penser le contraire.

    Je laisse chacun se faire un avis sur le cloud (je suis utilisateur assidu de cette technologie depuis plusieurs années). Je trouve juste dommage de traduire un article avec tant d’approximation ou en cherchant à faire le buzz en mettant dans le titre Amazon.

    @Stéphane le calme : A vous de me répondre...

    Cordialement,
    Syl20

  13. #13
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 189
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 189
    Points : 149 284
    Points
    149 284
    Par défaut
    Bonsoir,

    Citation Envoyé par syl204269 Voir le message
    Bonsoir,
    "non sécurisé" : la forme de ce titre laisse à penser qu'il y a des failles sur le cloud AWS.
    Si vous utilisez un peu AWS, vous verrez que AWS assure une partie de la sécurité (shared responsibility model).
    AWS est un peu comme un serrurier qui vous fournit un verrou. Si vous ne le posez pas sur la porte ou si vous laissez la porte ouverte ce n'est pas la faute du serrurier. Le titre de l'article laisse penser le contraire.
    "Non sécurisé" ne fait aucunement référence à une faille du côté d'AWS (je l'aurais précisé dans le texte s'il en était autrement), mais plutôt au fait que, comme vous le décrivez si bien, la porte a été laissé ouverte. La faute n'incombe donc pas au serrurier.

    Il semble donc que l'utilisation de "non sécurisé" puisse prêter à confusion si elle est interprétée autrement. Dans ce cas, que suggérez-vous pour refléter au mieux le fait que le dépôt cloud n'était pas protégé par une sécurité comme l'atteste ce passage ?

    Citation Envoyé par UpGuard

    The Discovery

    In the early evening of June 12th, UpGuard Cyber Risk Analyst Chris Vickery discovered an open cloud repository while searching for misconfigured data sources on behalf of the Cyber Risk Team, a research unit of UpGuard devoted to finding, securing, and raising public awareness of such exposures. The data repository, an Amazon Web Services S3 bucket, lacked any protection against access.
    Citation Envoyé par syl204269 Voir le message
    "un serveur Amazon non sécurisé" : l'article original parle d'un "bucket S3".
    Un bucket S3 n'est pas un serveur, mais un espace "privatisé" (pas forcément sécurisé) sur un ensemble de serveur sur AWS.
    Dans ce cas, je suppose que vous me suggérez de remplacer "serveur" par "espace privatisé" qui serait plus juste, selon vous ?

    Merci pour votre retour :-)
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  14. #14
    Nouveau Candidat au Club
    Homme Profil pro
    Directeur technique
    Inscrit en
    juin 2017
    Messages
    0
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Directeur technique

    Informations forums :
    Inscription : juin 2017
    Messages : 0
    Points : 0
    Points
    0
    Par défaut
    Merci pour cette réponse rapide.

    Il semble donc que l'utilisation de "non sécurisé" puisse prêter à confusion si elle est interprétée autrement. Dans ce cas, que suggérez-vous pour refléter au mieux le fait que le dépôt cloud n'était pas protégé par une sécurité comme l'atteste ce passage ?

    -> Il faudrait peut-être rajouter que c'est bien l'utilisateur qui est la source du problème et que ceci aurait très bien pu se passer sur un autre cloud (Google, Oracle, Microsoft ...) voir même hors du cloud.
    Dans les flux RSS, le titre de l'article est composé du titre et du sous titre, enlever la référence à Amazon dans le sous titre mais garder dans le contenu pourrait également être un plus.


    Dans ce cas, je suppose que vous me suggérez de remplacer "serveur" par "espace privatisé" qui serait plus juste, selon vous ?
    --> J'ai utilisé l'expression "espace privatisé" pour être facilement compris. Je vous laisse voir la documentation Amazon en francais pour trouver le bon terme à utiliser.

    Cordialement,

  15. #15
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 189
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 189
    Points : 149 284
    Points
    149 284
    Par défaut
    Bonjour

    Citation Envoyé par syl204269 Voir le message

    -> Il faudrait peut-être rajouter que c'est bien l'utilisateur qui est la source du problème et que ceci aurait très bien pu se passer sur un autre cloud (Google, Oracle, Microsoft ...) voir même hors du cloud.
    J'ai pris note et modifié en conséquence, notamment en rayant la mention d'Amazon du sous-titre et en précisant qu'il ne s'agit pas d'une faille du Amazon S3.
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  16. #16
    Membre averti

    Homme Profil pro
    Directeur de projet
    Inscrit en
    juillet 2003
    Messages
    98
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Directeur de projet
    Secteur : Transports

    Informations forums :
    Inscription : juillet 2003
    Messages : 98
    Points : 305
    Points
    305
    Par défaut
    Vive le cloud !

    Je ne comprends pas comment des personnes normalement constituées peuvent encore stocker leurs photos et documents perso sur des serveurs distants après toutes ces affaires .

  17. #17
    Nouveau Candidat au Club
    Homme Profil pro
    Directeur technique
    Inscrit en
    juin 2017
    Messages
    0
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Directeur technique

    Informations forums :
    Inscription : juin 2017
    Messages : 0
    Points : 0
    Points
    0
    Par défaut
    Citation Envoyé par Bigb Voir le message
    Vive le cloud !

    Je ne comprends pas comment des personnes normalement constituées peuvent encore stocker leurs photos et documents perso sur des serveurs distants après toutes ces affaires .
    Le cloud n'est pas le problème. C'est les personnes qui mettent en oeuvre les solutions qui laissent des failles.
    La même chose se passerait sur des serveurs "on premise".

    Attention a ne pas confondre le cloud et les services SAAS hébergés sur le cloud (type dropbox par exemple)

Discussions similaires

  1. Des serveurs Apache mal configurés peuvent faire fuiter des informations
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 1
    Dernier message: 31/01/2016, 21h11
  2. Réponses: 0
    Dernier message: 28/01/2015, 10h00
  3. Réponses: 1
    Dernier message: 30/01/2008, 16h42
  4. Comment obtenir des informations sur le serveur?
    Par Me,Myself and I dans le forum ASP.NET
    Réponses: 2
    Dernier message: 16/01/2007, 09h36

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo