Pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter, inscrivez-vous gratuitement !

 

  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    février 2017
    Messages
    603
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : février 2017
    Messages : 603
    Points : 20 650
    Points
    20 650

    Par défaut Une chaîne de boulangeries lambine en réaction à la réception d’un rapport de faille affectant son site web

    Une chaîne de boulangeries lambine en réaction à la réception d’un rapport de faille affectant son site web
    Et expose des millions d’utilisateurs

    Le site web de la chaîne américaine de boulangeries Panera Bread a laissé les données des utilisateurs sans la moindre protection pendant des mois. Résultat ? Le chercheur en sécurité Dylan Houlilan a découvert le pot aux roses, ce qui laisse penser que des tiers malveillants pourraient également être en possession desdites informations.

    En substance, cela fait huit mois au moins que le site web de la chaîne de boulangeries situées en Amérique expose les données de ses utilisateurs. Le rapport de vulnérabilité adressé à Panera Bread par le chercheur remonte au mois d’août 2017, mais l’intervention de ce dernier n’a pas porté ses fruits puisque les contenus des correspondances, initialement jugés « douteux » par Panera Bread, n’ont pas été exploités. Contacté par Dylan Houlilan hier, Brian Krebs est monté au créneau le même jour pour communiquer de façon plus large sur la faille, un souci avec la structure du site qui permet d’accéder à des informations en principe confidentielles à partir d’URL vulnérables.

    Illustration avec un fichier JSON dont le contenu révèle que les données sont stockées en clair. Ainsi, noms de client, adresses e-mail, lieux de résidence, numéros de téléphone, dates d'anniversaire et chiffres des cartes de crédit des utilisateurs du site web pourraient être entre les mains d’acteurs malveillants. De quoi faire sucer les doigts à un pirate à même de constater, comme le précisent Dylan Houlilan et Brian Krebs, qu’il suffit d’effectuer un incrément sur le nombre en bout d’URL – l’identifiant client – pour passer d’un compte à l’autre.

    Nom : URL vulnérable.jpg
Affichages : 4466
Taille : 99,1 Ko

    Faisant suite à la publication de Brian Krebs, Panera Bread a passé son site en mode maintenance et a corrigé la vulnérabilité. C’est du moins ce qu’a déclaré John Meister, Chief Information Officer chez Panera dans les colonnes de Fox Business. « Suite aux rapports d'aujourd'hui à propos d'un possible problème au niveau de notre site web, nous avons désactivé la fonction, afin de résoudre le problème. Nos recherches sont encore en cours, mais il n'existe aucune preuve que des informations relatives à des cartes de paiement ou que de grandes quantités de données aient pu être retrouvées ou dérobées », a-t-il précisé.

    D’après John Meister, le problème n’aurait concerné qu’une dizaine de milliers de clients. Brian Krebs a fait une nouvelle sortie pour rejeter cette affirmation et a posté d’autres liens à problèmes. En s’appuyant sur des données fournies par Hold Security, une autre firme de sécurité lancée dans les investigations, Brian Krebs a porté le chiffre à 37 millions d’utilisateurs.

    Nom : krebs.jpg
Affichages : 3994
Taille : 42,8 Ko

    À date, le site web de la chaîne de boulangeries est inaccessible ; une posture aux antipodes de l’assurance affichée lors du premier contact avec Dylan Houlilan : « mon équipe a reçu vos courriels qui nous ont paru très suspects, de l’ordre de l’arnaque ; ils ont donc été ignorés. »

    Les organisations sont en principe pyramidales et dans des cas comme celui-ci on ne peut que se retourner vers l’individu au sommet pour demander des comptes. Dans le cas Parena, la personne indiquée est Mike Gustavision, directeur de la sécurité des systèmes d’information, un ancien d’Equifax entre 2009 et 2013. Suivez le regard…

    Sources

    Billet Houlilan

    Krebsonsecurity

    Et vous ?

    Que pensez-vous de cet autre cas de fuite massive de données ?

    À quel degré doit-on engager la responsabilité du directeur de la sécurité des systèmes d’information dans ce cas ?

    Voir aussi

    Les données de 143 millions d'Américains ont été potentiellement exposées à un piratage d'une société de renseignement de crédit
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre expérimenté

    Homme Profil pro
    Développeur informatique
    Inscrit en
    octobre 2013
    Messages
    487
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Conseil

    Informations forums :
    Inscription : octobre 2013
    Messages : 487
    Points : 1 301
    Points
    1 301

    Par défaut

    C'est sur le RSSI à des supers références

    Le pire dans cette histoire c'est le dénie
    Consultez mes articles sur l'accessibilité numérique :

    Comment rendre son application SWING accessible aux non voyants
    Créer des applications web accessibles à tous

    YES WE CAN BLANCHE !!!

    Rappelez-vous que Google est le plus grand aveugle d'Internet...
    Plus c'est accessible pour nous, plus c'est accessible pour lui,
    et meilleur sera votre score de référencement !

  3. #3
    Membre actif
    Homme Profil pro
    recherche
    Inscrit en
    octobre 2011
    Messages
    135
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : recherche
    Secteur : Distribution

    Informations forums :
    Inscription : octobre 2011
    Messages : 135
    Points : 216
    Points
    216

    Par défaut

    C'est bien que des gens est encore la foi pour partager des failles sans que ça se retourne contre eux

  4. #4
    Membre éclairé
    Homme Profil pro
    Étudiant
    Inscrit en
    juillet 2013
    Messages
    192
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : juillet 2013
    Messages : 192
    Points : 678
    Points
    678

    Par défaut

    Ce qui m'étonne le plus dans cette histoire c'est que les gens ressentent le besoin de s'inscrire sur le site d'une boulangerie

  5. #5
    Membre actif
    Homme Profil pro
    recherche
    Inscrit en
    octobre 2011
    Messages
    135
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : recherche
    Secteur : Distribution

    Informations forums :
    Inscription : octobre 2011
    Messages : 135
    Points : 216
    Points
    216

    Par défaut

    Citation Envoyé par Lyons Voir le message
    Ce qui m'étonne le plus dans cette histoire c'est que les gens ressentent le besoin de s'inscrire sur le site d'une boulangerie
    De nos jours s'inscrire sur un site pour passer commande et bénéficier de réductions me semble pas illogique.

  6. #6
    MikeRowSoft
    Invité(e)

    Par défaut

    C'est pratique pour les abonnements, le client n'a plus à retaper le code qui est strictement le même jusqu'à expiration.
    Comme cela c'est le site lui même qui donne les infos à sa banque...

    Les infos sont stockés sans sécurité... Surement le meilleur choix si il doit y avoir " migration/interopérabilité ".

    Entre nous, à voir les numéros cartes de l'image, il y a comme des * de mer.

  7. #7
    Modérateur
    Avatar de Hizin
    Homme Profil pro
    Développeur mobile
    Inscrit en
    février 2010
    Messages
    2 168
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France

    Informations professionnelles :
    Activité : Développeur mobile

    Informations forums :
    Inscription : février 2010
    Messages : 2 168
    Points : 5 036
    Points
    5 036

    Par défaut

    Ce genre de déclaration me donne la nausée :
    D’après John Meister, le problème n’aurait concerné qu’une dizaine de milliers de clients.
    "Nous avons plusieurs millions d'utilisateurs, une dizaine de millier seulement seraient concernés"...

    Qu'il se fasse pirater sa carte bancaire et vive la tempête que cela cause dans une vie. À force de vivre derrière des abstractions, on oublie les vies qu'elles représentent.
    C'est Android, PAS Androïd, ou Androïde didiou !
    Le premier est un OS, le second est la mauvaise orthographe du troisième, un mot français désignant un robot à forme humaine.

    Membre du comité contre la phrase "ça marche PAS" en titre et/ou explication de problème.

    N'oubliez pas de consulter les FAQ Android et les cours et tutoriels Android

  8. #8
    Membre chevronné
    Avatar de Daïmanu
    Homme Profil pro
    Développeur touche à tout
    Inscrit en
    janvier 2011
    Messages
    571
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Alpes Maritimes (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur touche à tout

    Informations forums :
    Inscription : janvier 2011
    Messages : 571
    Points : 2 039
    Points
    2 039

    Par défaut

    Citation Envoyé par Lyons Voir le message
    Ce qui m'étonne le plus dans cette histoire c'est que les gens ressentent le besoin de s'inscrire sur le site d'une boulangerie
    J'ai déjà été client d'une boulangerie très côtoyée, et l'établissement a eu l'idée de pouvoir faire des commandes en lignes via un formulaire en ligne avec inscription obligatoire. Crois moi c'était très pratique quand on ne doit pas faire la file de 20 minutes tous les jours juste pour le repas du midi.

    C'est une boulangerie indépendante, elle ne fait pas partie d'une chaîne ou autre. Donc ça me surprendrait pas si elle utilise un prestataire peu chère et de qualité douteuse pour déléguer ce genre de site web. Mais là le scandale touche toute un chaîne, ce qui est vraiment surprenant (et aberrant) !
    Je fais appel aux esprits de Ritchie, Kernighan, Stroustrup et Alexandrescu
    Donnez moi la force, donnez moi le courage de coder proprement !

    « Ça marche pas » n'est PAS une réponse convenable, merci de détailler le soucis en fournissant l’environnement, le code source, les commandes et les messages d'erreur.

  9. #9
    Membre chevronné
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    février 2010
    Messages
    472
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 25
    Localisation : France

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : février 2010
    Messages : 472
    Points : 2 100
    Points
    2 100

    Par défaut

    Citation Envoyé par Hizin Voir le message
    Ce genre de déclaration me donne la nausée :

    "Nous avons plusieurs millions d'utilisateurs, une dizaine de millier seulement seraient concernés"...

    Qu'il se fasse pirater sa carte bancaire et vive la tempête que cela cause dans une vie. À force de vivre derrière des abstractions, on oublie les vies qu'elles représentent.
    Premièrement comme tu le dis c'est assez méprisant pour les utilisateurs touchés. Et deuxièmement c'est surement un mensonge. Cette excuse est utilisé à tout le coups ("oui y a une brêche, mais elle n'a impacté qu'une petite partie de nos utilisateurs") et je pense que dans 90% des cas tous les utilisateurs sont dans la même base, y a une seule infra, donc si un seul utilisateur peut être touché, tous peuvent l'être aussi.

  10. #10
    Membre régulier
    Homme Profil pro
    Développeur Web
    Inscrit en
    janvier 2014
    Messages
    135
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : janvier 2014
    Messages : 135
    Points : 124
    Points
    124

    Par défaut

    Ca me rappelle une sale histoire qui m'est arrivé.

    Il y a 3 ans (c'est prescrit maintenant ), je postule dans une boite connue, présente à Paris, Amsterdam et SF. Boite se présentant comme une "startup" (avec des vidéos d'apéro cool et de hackathon).

    Je suis refoulé.
    Il y avait sur le site, un Excel avec la liste de tous leur employé (email et n° de tel.) Accessible en callant les dossiers de leur BO. Il m'a fallu 2 heures et un script de scraping pour récupérer le fichier.

    Je l'ai envoyé au RH + CEO France + CTO. Dans le message: Je leur expliquerais mon mode opératoire en échange d'une reconsidération de ma candidature + entretien physique.

    Voici la très sympathique réponse que j'ai reçu (par SMS depuis le tel du CEO France) :

    Monsieur,

    En aucun cas, votre chantage ne trouvera écho auprès de nous.
    Sachez que les pratiques de piratages dont vous vous vantez d'avoir la maitrise sont combattues avec la plus grande fermeté.
    Je vous conseille de lire attentivement l'article 323-1 du Code pénal.
    Une plainte sera déposée contre vous si ces données sont rendues publiques.

    Toutes candidatures ultérieur de votre part sera immédiatement rejetée.

    Bien à vous
    Laissons ces boites se vautrer seules.
    Cocréateur d'un réseau social musical
    Suivez-nous sur https://www.facebook.com/Spolsik/?re...homepage_panel

  11. #11
    Membre averti Avatar de griggione
    Homme Profil pro
    Webmaster
    Inscrit en
    mai 2006
    Messages
    161
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 66
    Localisation : France, Corse (Corse)

    Informations professionnelles :
    Activité : Webmaster
    Secteur : Boutique - Magasin

    Informations forums :
    Inscription : mai 2006
    Messages : 161
    Points : 306
    Points
    306

    Par défaut

    Ce qui m'étonne le plus dans cette histoire c'est que les gens ressentent le besoin de s'inscrire sur le site d'une boulangerie
    +1

  12. #12
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    9 218
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 9 218
    Points : 20 676
    Points
    20 676

    Par défaut

    @setni, tu aurais du utiliser le protocole Zataz.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  13. #13
    Membre averti
    Homme Profil pro
    Webdesigner
    Inscrit en
    juin 2014
    Messages
    189
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 58
    Localisation : France, Hautes Pyrénées (Midi Pyrénées)

    Informations professionnelles :
    Activité : Webdesigner
    Secteur : Associations - ONG

    Informations forums :
    Inscription : juin 2014
    Messages : 189
    Points : 386
    Points
    386

    Par défaut

    Une chaîne de boulangeries lambine en réaction à la réception d'un rapport de faille affectant son site web
    De tempes en temps, les traducteurs automatiques nous sortent des perles comme ce titre.

  14. #14
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    9 218
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 9 218
    Points : 20 676
    Points
    20 676

    Par défaut

    domi65:
    De tempes en temps, les traducteurs automatiques nous sortent des perles comme ce titre.
    Et de temps en temps, des membres nous sortent des perles niveau fautes de frappe.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  15. #15
    Membre averti
    Homme Profil pro
    Webdesigner
    Inscrit en
    juin 2014
    Messages
    189
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 58
    Localisation : France, Hautes Pyrénées (Midi Pyrénées)

    Informations professionnelles :
    Activité : Webdesigner
    Secteur : Associations - ONG

    Informations forums :
    Inscription : juin 2014
    Messages : 189
    Points : 386
    Points
    386

    Par défaut

    Citation Envoyé par chrtophe Voir le message
    Et de temps en temps, des membres nous sortent des perles niveau fautes de frappe.
    C'est que je me tapais sur le front ! ;-)

Discussions similaires

  1. Réponses: 8
    Dernier message: 12/02/2013, 01h08
  2. Réponses: 3
    Dernier message: 28/09/2003, 10h46
  3. Inverser une chaîne de caractères
    Par DBBB dans le forum Assembleur
    Réponses: 2
    Dernier message: 30/03/2003, 11h09
  4. Comptage de mots dans une chaîne
    Par kikinou dans le forum Pascal
    Réponses: 10
    Dernier message: 01/01/2003, 02h27
  5. Réponses: 3
    Dernier message: 09/05/2002, 01h39

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo