+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Consultant
    Inscrit en
    juillet 2013
    Messages
    1 449
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 1 449
    Points : 41 274
    Points
    41 274
    Billets dans le blog
    2

    Par défaut Hongrie : un jeune de 18 ans arrêté après avoir signalé une faille

    Hongrie : un jeune de 18 ans arrêté après avoir signalé une faille
    dans le système de vente de billets en ligne d’une compagnie de transport public

    Un jeune hongrois de 18 ans a été arrêté après avoir signalé un bogue dans le système de vente de billets en ligne de Budapesti Közlekedési Központ (BKK), la société supervisant le réseau de transport en commun de Budapest et de sa proche banlieue.

    Le jeune homme s’est rendu compte qu’en allant sur le site Web de BKK, et en accédant au mode d'outils de développement de son navigateur, il pouvait modifier le code source de la page pour modifier le prix d'un billet. Aucun mécanisme de validation côté client ou serveur n’ayant été mis en place par l’entreprise, le système BKK a accepté l'opération et a émis un billet de transport mensuel qui coûte normalement environ 35 $ à un prix plus faible de 20 centimes.

    Ayant l’évidence d’une telle vulnérabilité dans le système de BKK, il a alors décidé d’en informer l’entreprise. Plutôt que de chercher à le récompenser, la société de transport a trouvé une meilleure idée : le dénoncer à la police afin qu'il soit arrêté. Bien évidemment, il a accédé et modifié le code du système de l'entreprise, ce qui peut être considéré comme un piratage et donc illégal.

    L'entreprise a déposé une plainte en accusant le jeune homme d'avoir piraté son système. Il faut toutefois noter que ce dernier ne vit pas à Budapest ou dans la zone qui est couverte par le réseau de transport commun. Autrement dit, il n'avait aucun moyen d'utiliser le billet et le fait qu’il ait signalé ce bogue amateur montre qu’il n’avait pas l’intention de l’exploiter. « Je n'ai pas utilisé le billet, je ne vis même pas près de Budapest, je n'ai jamais voyagé sur une route BKK. Mon objectif était juste de signaler le problème à BKK afin qu’il soit résolu et non de l’utiliser, par exemple, pour vendre les billets à moitié prix », dit-il.

    Dans une conférence de presse, BKK s'est toutefois vanté d'avoir arrêté un pirate et a déclaré que ses systèmes étaient sécurisés. Cette déclaration a été perçue comme un défi par certains développeurs qui ont, par la suite, publié sur Twitter d'autres défauts de sécurité qu’ils avaient trouvés dans le système de BKK.


    Sur Facebook, des dizaines de milliers de Hongrois ont également montré leur solidarité et apporté leur soutien au jeune homme arrêté par la police. Plus de 45 000 utilisateurs ont laissé des commentaires négatifs sur la page Facebook de l’entreprise. Le jeune hacker a, pour sa part, réitéré qu'il n'avait que de bonnes intentions lorsqu'il a signalé le problème à BKK et a déclaré qu'il espère que l’entreprise retirera sa plainte.

    BKK paie environ 1 million de dollars par an pour la maintenance de ses systèmes informatiques. Et le bénéficiaire de ce contrat généreux est l'entreprise locale T-Systems, qui est également connue pour avoir parrainé un concours pour les hackers éthiques. Pour n'avoir pas pu détecter une telle faille dans le système de BKK, T-Systems a également reçu des milliers de critiques sur Facebook.


    Source : Bleeping Computer

    Et vous ?

    Que pensez-vous de la réaction de BKK ?
    Qu’auriez-vous fait à la place du jeune homme ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éclairé
    Avatar de Aurelien Plazzotta
    Homme Profil pro
    UML/SQL/Python/Knowledge Management
    Inscrit en
    juillet 2006
    Messages
    275
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France

    Informations professionnelles :
    Activité : UML/SQL/Python/Knowledge Management

    Informations forums :
    Inscription : juillet 2006
    Messages : 275
    Points : 894
    Points
    894

    Par défaut

    BBK a l'air fière de payer 1 million de $ par an pour de l'amateurisme à peine voilé. Il ne s'agit même plus d'une faille béante mais carrément d'une absence totale de sécurisation du code, c'est jackpot pour T-Systems.

    Il est clair que la vertu est punie en société de nos jours. Il aurait mieux valu que le jeune homme revende des billets à moitié prix...

    A sa place, et étant donné qu'en France, c'est toujours le premier qui porte plainte qui gagne le procès, j'aurai porté plainte contre BBK pour diffamation et faux témoignage au Tribunal d'Instance immédiatement après avoir été dénoncé à la police.

    Concernant les critiques, c'est juste un coup d'épée dans l'eau. Il n'y a pas eu 45 000 messages négatifs mais uniquement 45 000 fois la note de 1/5; et quand bien même, les messages auraient de toute façon été purgés en 1 heure ou 2..
    La réputation des deux boites reste intacte et c'est regrettable. Il doit bien exister un moyen pour les particuliers de détruire la réputation d'une entreprise...
    Je porte l'épée brisée, et sépare les vrais rois des tyrans. Qui suis-je ?

  3. #3
    Membre expert
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2008
    Messages
    1 976
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France, Doubs (Franche Comté)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : décembre 2008
    Messages : 1 976
    Points : 3 665
    Points
    3 665

    Par défaut

    Citation Envoyé par Michael Guilloux Voir le message
    Que pensez-vous de la réaction de BKK ?
    Ils ont mal géré ça...
    Quelqu'un vient gentiment leur informer qu'il existe une faille dans leur système de vente de billet et au lieu de le remercier et prendre en compte sa découverte, il le dénonce à la police et n'améliore pas le système.

    Ça me rappelle une vieille histoire qu'un prof nous avait raconté, à une époque des chercheurs avaient trouvé une faille dans les distributeurs de billet, ils ont informé la banque et elle a réagit comme BBK...
    C'est un peu comme ça :
    Cambridge refuse de censurer une thèse sur l’insécurité des cartes bancaires
    Mise en demeure par un lobby britannique de paiement par cartes, l'Université de Cambridge a refusé de censurer la thèse d'un étudiant qui démontrait qu'il était possible de payer sans entrer le bon code PIN. Au contraire, elle le soutient.
    Citation Envoyé par Michael Guilloux Voir le message
    Qu’auriez-vous fait à la place du jeune homme ?
    Si c'est un type random, je ne sais pas pourquoi il cherchait des failles sur ce site...
    Si à la limite il était le chef d'une entreprise de sécurité, il aurait pu proposer ses services.
    "Alors il entrait le type et il disait une baguette pas trop cuite" Émile.
    Aidez la chaîne Nolife, abonnez-vous : http://www.nolife-tv.com/

  4. #4
    Membre expérimenté
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    février 2010
    Messages
    366
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 24
    Localisation : France

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : février 2010
    Messages : 366
    Points : 1 333
    Points
    1 333

    Par défaut

    Citation Envoyé par Michael Guilloux Voir le message
    Bien évidemment, il a accédé et modifié le code du système de l'entreprise, ce qui peut être considéré comme un piratage et donc illégal.
    N'importe quoi! Il a modifié le code coté client! Il n'a pas accédé et modifié le backend ou un quelconque serveur! Dans le droit français en revanche il pourrait être inquiété pour le fait d'entraver ou de fausser un système de traitement automatisé de données.

    Bref, l'informatique fait toujours aussi peur et entraîne des réactions judiciaire toujours aussi démesurées.
    L'entreprise BKK a réagit de la pire manière qui soit, aveuglément et avec arrogance. Leur image de marque se ternit, et, se faisant connaître de toute la planète de cette manière, il se mettent à dos un tas de pirates beaucoup moins étiques que ce jeune homme.

  5. #5
    Nouveau membre du Club
    Homme Profil pro
    Développeur Web
    Inscrit en
    juin 2015
    Messages
    21
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : juin 2015
    Messages : 21
    Points : 29
    Points
    29

    Par défaut

    Je pense que le mec qui gère Zataz à eu le meme coup à une époque .

  6. #6
    Membre chevronné
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    avril 2009
    Messages
    984
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Suisse

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Finance

    Informations forums :
    Inscription : avril 2009
    Messages : 984
    Points : 2 030
    Points
    2 030

    Par défaut

    Citation Envoyé par benjani13 Voir le message
    N'importe quoi! Il a modifié le code coté client! Il n'a pas accédé et modifié le backend ou un quelconque serveur! Dans le droit français en revanche il pourrait être inquiété pour le fait d'entraver ou de fausser un système de traitement automatisé de données.

    Bref, l'informatique fait toujours aussi peur et entraîne des réactions judiciaire toujours aussi démesurées.
    L'entreprise BKK a réagit de la pire manière qui soit, aveuglément et avec arrogance. Leur image de marque se ternit, et, se faisant connaître de toute la planète de cette manière, il se mettent à dos un tas de pirates beaucoup moins étiques que ce jeune homme.
    Je pense surtout que la direction n'a aucune compétence dans ces nouvelles technologies et n'a aucune idée de ce qu'elle fait. Ca se voit autant à la réalisation qu'à la réaction.

    Ceci dit ce n'est pas un crime d'être à la ramasse, d'autant plus quand c'est un domaine hors du core-business.

    Maintenant faut voir de quel façon cette entreprise à attribuer le mandat concernant ce système, parce que à mon avis ça c'est plus joué au backchich qu'autre chose. Mais ça c'est une autre histoire...

  7. #7
    Membre expert
    Avatar de e-ric
    Homme Profil pro
    Traqueur de tritons et autres bestioles
    Inscrit en
    mars 2002
    Messages
    1 469
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 48
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Traqueur de tritons et autres bestioles

    Informations forums :
    Inscription : mars 2002
    Messages : 1 469
    Points : 3 549
    Points
    3 549

    Par défaut

    Salut

    Décidément les mauvaises habitudes des entreprises et des institutions sont assez généralisées.
    La prochaine fois, il fermera sa gueule et publiera ses découvertes dans le dark net, ce sera vraiment le jackpot pour ces abrutis.

    Cdlt

    M E N S . A G I T A T . M O L E M
    Debian 8.x 64bit, Lazarus 1.6 (FPC 3.0), Python 3

    "La théorie, c'est quand on sait tout, mais que rien ne marche. La pratique, c'est quand tout marche, mais qu'on ne sait pas pourquoi. En informatique, la théorie et la pratique sont réunies: rien ne marche et on ne sait pas pourquoi!".
    Mais Emmanuel Kant disait aussi : "La théorie sans la pratique est inutile, la pratique sans la théorie est aveugle."

  8. #8
    Membre régulier
    Homme Profil pro
    Inscrit en
    mars 2012
    Messages
    39
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Tunisie

    Informations forums :
    Inscription : mars 2012
    Messages : 39
    Points : 95
    Points
    95

    Par défaut

    ça me rappel lorsque j'ai signalé un exploit sur le site web d'une très grande entreprise de e-books, même pas un merci rien, sachant que l'exploit pouvait récupérer tous les ebooks détenus par l'entreprise.

    Depuis, si c'est de l'Open Source je transmet l'exploit. Si c'est une entreprise et qu'ils n'ont pas de programme Bug Bounty, ben tanpis pour eux.

  9. #9
    Nouveau membre du Club
    Inscrit en
    novembre 2012
    Messages
    12
    Détails du profil
    Informations forums :
    Inscription : novembre 2012
    Messages : 12
    Points : 32
    Points
    32

    Par défaut

    C'est comme tuer le messager car il apporte une mauvaise nouvelle.

  10. #10
    Membre expert
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2008
    Messages
    1 976
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France, Doubs (Franche Comté)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : décembre 2008
    Messages : 1 976
    Points : 3 665
    Points
    3 665

    Par défaut

    Citation Envoyé par xapon Voir le message
    C'est comme tuer le messager car il apporte une mauvaise nouvelle.
    Ouais et en plus au lieu de réparer le problème et que ça reste discret, ça fait parler du problème et ça fait empirer le situation...

    Le gars arrive pour rendre service et il se retrouve arrêté...
    "Alors il entrait le type et il disait une baguette pas trop cuite" Émile.
    Aidez la chaîne Nolife, abonnez-vous : http://www.nolife-tv.com/

  11. #11
    Membre habitué
    Profil pro
    Inscrit en
    août 2007
    Messages
    95
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : août 2007
    Messages : 95
    Points : 161
    Points
    161

    Par défaut

    Citation Envoyé par Aurelien Plazzotta Voir le message
    Il n'y a pas eu 45 000 messages négatifs mais uniquement 45 000 fois la note de 1/5
    Non non quand on va sur leur compte face book ( https://www.facebook.com/pg/bkkbudapest/reviews/) il y a bien 45 000 messages (reviews) négatifs avec la note de 1*.
    "Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux."
    Benjamin Franklin

  12. #12
    Membre éclairé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2007
    Messages
    494
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : juillet 2007
    Messages : 494
    Points : 787
    Points
    787

    Par défaut

    Si c'est un type random, je ne sais pas pourquoi il cherchait des failles sur ce site.
    On peux aimer l’informatique et s'amuser a voir si on peux pirater un petit truc juste pour bidouiller. Comme il y en a qui s'amusent à dégommer des objets du quotidien avec des patator ou à les démonter.
    Il cherchait pas forcément spécialement une faille, il voulait peut-être modifier le prix pour s'amuser et dire "regardez, j'ai trouver un billet à 1 euros". En le validant il a vu que cela fonctionnait il a du éclater de rire.
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

  13. #13
    Membre du Club
    Homme Profil pro
    Développeur Web
    Inscrit en
    novembre 2011
    Messages
    39
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : novembre 2011
    Messages : 39
    Points : 66
    Points
    66

    Par défaut

    Waow! C'est payant d'être honnête!!

  14. #14
    Membre expert
    Avatar de Escapetiger
    Homme Profil pro
    Administrateur système
    Inscrit en
    juillet 2012
    Messages
    701
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 54
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Administrateur système

    Informations forums :
    Inscription : juillet 2012
    Messages : 701
    Points : 3 676
    Points
    3 676

    Par défaut

    Citation Envoyé par Ryu2000 Voir le message
    ... Ça me rappelle une vieille histoire qu'un prof nous avait raconté, à une époque des chercheurs avaient trouvé une faille dans les distributeurs de billet, ils ont informé la banque et elle a réagit comme BBK...
    ...
    Oui, 20 ans après et les alerteurs sont toujours aussi bien vus
    En 1997, il met en évidence une faille dans le système de sécurité des cartes bancaires. Cette faille permet de créer des cartes acceptées par les terminaux, mais non liées à un compte bancaire.

    Épaulé par un avocat, il tente – sans succès – de négocier son « savoir-faire » auprès du GIE des cartes bancaires. Pour démontrer la faisabilité de cette technique, il effectue une démonstration publique de la vulnérabilité des cartes en retirant un carnet de tickets de métro au moyen d'une carte de sa fabrication dans un distributeur automatique. Cette tentative lui vaut une perquisition, la saisie de son matériel et une mise en garde à vue.
    cf. Serge Humpich

Discussions similaires

  1. Tomcat s'arrête après avoir ajouté JPA
    Par sigway dans le forum Tomcat
    Réponses: 3
    Dernier message: 24/04/2013, 17h16
  2. ouverture d'un formulaire après avoir coché une case
    Par bourguignon21 dans le forum VBA Access
    Réponses: 3
    Dernier message: 05/07/2007, 15h56
  3. Réponses: 5
    Dernier message: 25/01/2007, 10h53
  4. Réponses: 9
    Dernier message: 05/01/2007, 10h51
  5. Réponses: 1
    Dernier message: 15/06/2006, 18h01

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo