IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Hongrie : un jeune de 18 ans arrêté après avoir signalé une faille


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Data Consultant
    Inscrit en
    Juillet 2013
    Messages
    2 875
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Data Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juillet 2013
    Messages : 2 875
    Points : 86 930
    Points
    86 930
    Billets dans le blog
    2
    Par défaut Hongrie : un jeune de 18 ans arrêté après avoir signalé une faille
    Hongrie : un jeune de 18 ans arrêté après avoir signalé une faille
    dans le système de vente de billets en ligne d’une compagnie de transport public

    Un jeune hongrois de 18 ans a été arrêté après avoir signalé un bogue dans le système de vente de billets en ligne de Budapesti Közlekedési Központ (BKK), la société supervisant le réseau de transport en commun de Budapest et de sa proche banlieue.

    Le jeune homme s’est rendu compte qu’en allant sur le site Web de BKK, et en accédant au mode d'outils de développement de son navigateur, il pouvait modifier le code source de la page pour modifier le prix d'un billet. Aucun mécanisme de validation côté client ou serveur n’ayant été mis en place par l’entreprise, le système BKK a accepté l'opération et a émis un billet de transport mensuel qui coûte normalement environ 35 $ à un prix plus faible de 20 centimes.

    Ayant l’évidence d’une telle vulnérabilité dans le système de BKK, il a alors décidé d’en informer l’entreprise. Plutôt que de chercher à le récompenser, la société de transport a trouvé une meilleure idée : le dénoncer à la police afin qu'il soit arrêté. Bien évidemment, il a accédé et modifié le code du système de l'entreprise, ce qui peut être considéré comme un piratage et donc illégal.

    L'entreprise a déposé une plainte en accusant le jeune homme d'avoir piraté son système. Il faut toutefois noter que ce dernier ne vit pas à Budapest ou dans la zone qui est couverte par le réseau de transport commun. Autrement dit, il n'avait aucun moyen d'utiliser le billet et le fait qu’il ait signalé ce bogue amateur montre qu’il n’avait pas l’intention de l’exploiter. « Je n'ai pas utilisé le billet, je ne vis même pas près de Budapest, je n'ai jamais voyagé sur une route BKK. Mon objectif était juste de signaler le problème à BKK afin qu’il soit résolu et non de l’utiliser, par exemple, pour vendre les billets à moitié prix », dit-il.

    Dans une conférence de presse, BKK s'est toutefois vanté d'avoir arrêté un pirate et a déclaré que ses systèmes étaient sécurisés. Cette déclaration a été perçue comme un défi par certains développeurs qui ont, par la suite, publié sur Twitter d'autres défauts de sécurité qu’ils avaient trouvés dans le système de BKK.


    Sur Facebook, des dizaines de milliers de Hongrois ont également montré leur solidarité et apporté leur soutien au jeune homme arrêté par la police. Plus de 45 000 utilisateurs ont laissé des commentaires négatifs sur la page Facebook de l’entreprise. Le jeune hacker a, pour sa part, réitéré qu'il n'avait que de bonnes intentions lorsqu'il a signalé le problème à BKK et a déclaré qu'il espère que l’entreprise retirera sa plainte.

    BKK paie environ 1 million de dollars par an pour la maintenance de ses systèmes informatiques. Et le bénéficiaire de ce contrat généreux est l'entreprise locale T-Systems, qui est également connue pour avoir parrainé un concours pour les hackers éthiques. Pour n'avoir pas pu détecter une telle faille dans le système de BKK, T-Systems a également reçu des milliers de critiques sur Facebook.


    Source : Bleeping Computer

    Et vous ?

    Que pensez-vous de la réaction de BKK ?
    Qu’auriez-vous fait à la place du jeune homme ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre extrêmement actif
    Avatar de Aurelien Plazzotta
    Homme Profil pro
    .
    Inscrit en
    Juillet 2006
    Messages
    312
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : .

    Informations forums :
    Inscription : Juillet 2006
    Messages : 312
    Points : 934
    Points
    934
    Par défaut
    BBK a l'air fière de payer 1 million de $ par an pour de l'amateurisme à peine voilé. Il ne s'agit même plus d'une faille béante mais carrément d'une absence totale de sécurisation du code, c'est jackpot pour T-Systems.

    Il est clair que la vertu est punie en société de nos jours. Il aurait mieux valu que le jeune homme revende des billets à moitié prix...

    A sa place, et étant donné qu'en France, c'est toujours le premier qui porte plainte qui gagne le procès, j'aurai porté plainte contre BBK pour diffamation et faux témoignage au Tribunal d'Instance immédiatement après avoir été dénoncé à la police.

    Concernant les critiques, c'est juste un coup d'épée dans l'eau. Il n'y a pas eu 45 000 messages négatifs mais uniquement 45 000 fois la note de 1/5; et quand bien même, les messages auraient de toute façon été purgés en 1 heure ou 2..
    La réputation des deux boites reste intacte et c'est regrettable. Il doit bien exister un moyen pour les particuliers de détruire la réputation d'une entreprise...
    Je porte l'épée brisée, et sépare les vrais rois des tyrans. Qui suis-je ?

  3. #3
    Membre extrêmement actif
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    Décembre 2008
    Messages
    9 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Décembre 2008
    Messages : 9 552
    Points : 18 446
    Points
    18 446
    Par défaut
    Citation Envoyé par Michael Guilloux Voir le message
    Que pensez-vous de la réaction de BKK ?
    Ils ont mal géré ça...
    Quelqu'un vient gentiment leur informer qu'il existe une faille dans leur système de vente de billet et au lieu de le remercier et prendre en compte sa découverte, il le dénonce à la police et n'améliore pas le système.

    Ça me rappelle une vieille histoire qu'un prof nous avait raconté, à une époque des chercheurs avaient trouvé une faille dans les distributeurs de billet, ils ont informé la banque et elle a réagit comme BBK...
    C'est un peu comme ça :
    Cambridge refuse de censurer une thèse sur l’insécurité des cartes bancaires
    Mise en demeure par un lobby britannique de paiement par cartes, l'Université de Cambridge a refusé de censurer la thèse d'un étudiant qui démontrait qu'il était possible de payer sans entrer le bon code PIN. Au contraire, elle le soutient.
    Citation Envoyé par Michael Guilloux Voir le message
    Qu’auriez-vous fait à la place du jeune homme ?
    Si c'est un type random, je ne sais pas pourquoi il cherchait des failles sur ce site...
    Si à la limite il était le chef d'une entreprise de sécurité, il aurait pu proposer ses services.
    Keith Flint 1969 - 2019

  4. #4
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Février 2010
    Messages
    615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : Février 2010
    Messages : 615
    Points : 2 824
    Points
    2 824
    Par défaut
    Citation Envoyé par Michael Guilloux Voir le message
    Bien évidemment, il a accédé et modifié le code du système de l'entreprise, ce qui peut être considéré comme un piratage et donc illégal.
    N'importe quoi! Il a modifié le code coté client! Il n'a pas accédé et modifié le backend ou un quelconque serveur! Dans le droit français en revanche il pourrait être inquiété pour le fait d'entraver ou de fausser un système de traitement automatisé de données.

    Bref, l'informatique fait toujours aussi peur et entraîne des réactions judiciaire toujours aussi démesurées.
    L'entreprise BKK a réagit de la pire manière qui soit, aveuglément et avec arrogance. Leur image de marque se ternit, et, se faisant connaître de toute la planète de cette manière, il se mettent à dos un tas de pirates beaucoup moins étiques que ce jeune homme.

  5. #5
    Membre régulier
    Femme Profil pro
    Architecte réseau
    Inscrit en
    Juin 2015
    Messages
    40
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Afrique Du Sud

    Informations professionnelles :
    Activité : Architecte réseau

    Informations forums :
    Inscription : Juin 2015
    Messages : 40
    Points : 78
    Points
    78
    Par défaut
    Je pense que le mec qui gère Zataz à eu le meme coup à une époque .

  6. #6
    Membre chevronné
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2009
    Messages
    1 048
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : Suisse

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Finance

    Informations forums :
    Inscription : Avril 2009
    Messages : 1 048
    Points : 2 201
    Points
    2 201
    Par défaut
    Citation Envoyé par benjani13 Voir le message
    N'importe quoi! Il a modifié le code coté client! Il n'a pas accédé et modifié le backend ou un quelconque serveur! Dans le droit français en revanche il pourrait être inquiété pour le fait d'entraver ou de fausser un système de traitement automatisé de données.

    Bref, l'informatique fait toujours aussi peur et entraîne des réactions judiciaire toujours aussi démesurées.
    L'entreprise BKK a réagit de la pire manière qui soit, aveuglément et avec arrogance. Leur image de marque se ternit, et, se faisant connaître de toute la planète de cette manière, il se mettent à dos un tas de pirates beaucoup moins étiques que ce jeune homme.
    Je pense surtout que la direction n'a aucune compétence dans ces nouvelles technologies et n'a aucune idée de ce qu'elle fait. Ca se voit autant à la réalisation qu'à la réaction.

    Ceci dit ce n'est pas un crime d'être à la ramasse, d'autant plus quand c'est un domaine hors du core-business.

    Maintenant faut voir de quel façon cette entreprise à attribuer le mandat concernant ce système, parce que à mon avis ça c'est plus joué au backchich qu'autre chose. Mais ça c'est une autre histoire...

  7. #7
    Membre expert
    Avatar de e-ric
    Homme Profil pro
    Apprenti chat, bienfaiteur de tritons et autres bestioles
    Inscrit en
    Mars 2002
    Messages
    1 550
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 55
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Apprenti chat, bienfaiteur de tritons et autres bestioles

    Informations forums :
    Inscription : Mars 2002
    Messages : 1 550
    Points : 3 916
    Points
    3 916
    Par défaut
    Salut

    Décidément les mauvaises habitudes des entreprises et des institutions sont assez généralisées.
    La prochaine fois, il fermera sa gueule et publiera ses découvertes dans le dark net, ce sera vraiment le jackpot pour ces abrutis.

    Cdlt

    M E N S . A G I T A T . M O L E M
    Debian 64bit, Lazarus + FPC -> n'oubliez pas de consulter les FAQ Delphi et Pascal ainsi que les cours et tutoriels Delphi et Pascal

    "La théorie, c'est quand on sait tout, mais que rien ne marche. La pratique, c'est quand tout marche, mais qu'on ne sait pas pourquoi. En informatique, la théorie et la pratique sont réunies: rien ne marche et on ne sait pas pourquoi!".
    Mais Emmanuel Kant disait aussi : "La théorie sans la pratique est inutile, la pratique sans la théorie est aveugle."

  8. #8
    Membre habitué
    Homme Profil pro
    CTO
    Inscrit en
    Mars 2012
    Messages
    62
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Tunisie

    Informations professionnelles :
    Activité : CTO

    Informations forums :
    Inscription : Mars 2012
    Messages : 62
    Points : 161
    Points
    161
    Par défaut
    ça me rappel lorsque j'ai signalé un exploit sur le site web d'une très grande entreprise de e-books, même pas un merci rien, sachant que l'exploit pouvait récupérer tous les ebooks détenus par l'entreprise.

    Depuis, si c'est de l'Open Source je transmet l'exploit. Si c'est une entreprise et qu'ils n'ont pas de programme Bug Bounty, ben tanpis pour eux.

  9. #9
    Membre habitué
    Homme Profil pro
    Electronicien
    Inscrit en
    Novembre 2012
    Messages
    35
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loiret (Centre)

    Informations professionnelles :
    Activité : Electronicien
    Secteur : Transports

    Informations forums :
    Inscription : Novembre 2012
    Messages : 35
    Points : 131
    Points
    131
    Par défaut
    C'est comme tuer le messager car il apporte une mauvaise nouvelle.

  10. #10
    Membre extrêmement actif
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    Décembre 2008
    Messages
    9 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Décembre 2008
    Messages : 9 552
    Points : 18 446
    Points
    18 446
    Par défaut
    Citation Envoyé par xapon Voir le message
    C'est comme tuer le messager car il apporte une mauvaise nouvelle.
    Ouais et en plus au lieu de réparer le problème et que ça reste discret, ça fait parler du problème et ça fait empirer le situation...

    Le gars arrive pour rendre service et il se retrouve arrêté...
    Keith Flint 1969 - 2019

  11. #11
    Membre actif
    Profil pro
    Inscrit en
    Août 2007
    Messages
    136
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Août 2007
    Messages : 136
    Points : 247
    Points
    247
    Par défaut
    Citation Envoyé par Aurelien Plazzotta Voir le message
    Il n'y a pas eu 45 000 messages négatifs mais uniquement 45 000 fois la note de 1/5
    Non non quand on va sur leur compte face book ( https://www.facebook.com/pg/bkkbudapest/reviews/) il y a bien 45 000 messages (reviews) négatifs avec la note de 1*.
    "Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux."
    Benjamin Franklin

  12. #12
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juillet 2007
    Messages
    884
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Juillet 2007
    Messages : 884
    Points : 2 018
    Points
    2 018
    Par défaut
    Si c'est un type random, je ne sais pas pourquoi il cherchait des failles sur ce site.
    On peux aimer l’informatique et s'amuser a voir si on peux pirater un petit truc juste pour bidouiller. Comme il y en a qui s'amusent à dégommer des objets du quotidien avec des patator ou à les démonter.
    Il cherchait pas forcément spécialement une faille, il voulait peut-être modifier le prix pour s'amuser et dire "regardez, j'ai trouver un billet à 1 euros". En le validant il a vu que cela fonctionnait il a du éclater de rire.
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

  13. #13
    Membre habitué
    Homme Profil pro
    Développeur Web
    Inscrit en
    Novembre 2011
    Messages
    79
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Novembre 2011
    Messages : 79
    Points : 162
    Points
    162
    Par défaut
    Waow! C'est payant d'être honnête!!

  14. #14
    Expert éminent sénior
    Avatar de Escapetiger
    Homme Profil pro
    Administrateur système Unix - Linux
    Inscrit en
    Juillet 2012
    Messages
    1 465
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 61
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Administrateur système Unix - Linux

    Informations forums :
    Inscription : Juillet 2012
    Messages : 1 465
    Points : 10 995
    Points
    10 995
    Par défaut
    Citation Envoyé par Ryu2000 Voir le message
    ... Ça me rappelle une vieille histoire qu'un prof nous avait raconté, à une époque des chercheurs avaient trouvé une faille dans les distributeurs de billet, ils ont informé la banque et elle a réagit comme BBK...
    ...
    Oui, 20 ans après et les alerteurs sont toujours aussi bien vus
    En 1997, il met en évidence une faille dans le système de sécurité des cartes bancaires. Cette faille permet de créer des cartes acceptées par les terminaux, mais non liées à un compte bancaire.

    Épaulé par un avocat, il tente – sans succès – de négocier son « savoir-faire » auprès du GIE des cartes bancaires. Pour démontrer la faisabilité de cette technique, il effectue une démonstration publique de la vulnérabilité des cartes en retirant un carnet de tickets de métro au moyen d'une carte de sa fabrication dans un distributeur automatique. Cette tentative lui vaut une perquisition, la saisie de son matériel et une mise en garde à vue.
    cf. Serge Humpich
    « Developpez.com est un groupe international de bénévoles dont la motivation est l'entraide au sens large » (incl. forums developpez.net)
    Club des professionnels en informatique

Discussions similaires

  1. Tomcat s'arrête après avoir ajouté JPA
    Par sigway dans le forum Tomcat et TomEE
    Réponses: 3
    Dernier message: 24/04/2013, 18h16
  2. ouverture d'un formulaire après avoir coché une case
    Par bourguignon21 dans le forum VBA Access
    Réponses: 3
    Dernier message: 05/07/2007, 16h56
  3. Réponses: 5
    Dernier message: 25/01/2007, 11h53
  4. Réponses: 9
    Dernier message: 05/01/2007, 11h51
  5. Réponses: 1
    Dernier message: 15/06/2006, 19h01

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo