Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Étudiant
    Inscrit en
    novembre 2013
    Messages
    276
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2013
    Messages : 276
    Points : 8 018
    Points
    8 018
    Par défaut Une base de données renfermant des millions de SMS privés, a été exposée en ligne sans aucun chiffrement
    Une base de données renfermant des millions de SMS privés a été exposée en ligne sans aucun chiffrement,
    découverte faite par des chercheurs en sécurité de la société vpnMentor

    Ces derniers temps, les cas d’exposition des données d’utilisateurs sont très fréquents. Le cas d’octobre dernier où les données personnelles de 7,5 millions d'utilisateurs d'Adobe Creative cloud ont été exposées via une base de données Elasticsearch non sécurisée en est un exemple. Et le 1er décembre dernier, une équipe de chercheurs a annoncé avoir découvert une importante base de données exposée en ligne de façon non sécurisée (sans chiffrement des données) et en accès libre pour tous. Tout ceci pourrait pousser à penser que les entreprises en possession de ces données ne font pas assez d’efforts pour assurer la sécurité des informations de leurs utilisateurs.

    C’est dans le cadre d’un vaste projet de cartographie web que les chercheurs en sécurité Noam Rotem et Ran Locar puisqu’il s’agit d’eux, ont fait cette découverte. Ils font partie de la société de protection de la vie privée en ligne appelée vpnMentor. Il se trouve que cette base de données est gérée par la société de communication américaine nommée TrueDialog et contenait des dizaines de millions de SMS. La société est basée est à Austin, au Texas et existe depuis plus de 10 ans. Elle est spécialisée dans la création de solutions SMS pour les grandes et les petites entreprises. À l'échelle mondiale, la société compte plus de 5 milliards d'abonnés, mais il semble que la base de données exposée ne concerne que les citoyens américains.

    Nom : sms.jpg
Affichages : 1887
Taille : 8,0 Ko

    C’est en effectuant un balayage des ports pour examiner des blocs IP particuliers et tester les lacunes des systèmes que les chercheurs ont fait cette découverte. Ils ont ensuite utilisé des techniques expertes pour vérifier l'identité de la base de données et par la suite, ils ont alerté l’entreprise concernée. Il se trouve que les chercheurs ont pu accéder à cette base de données, car elle était complètement non sécurisée et sans aucun chiffrement. Grâce à un simple navigateur, ils ont pu manipuler les critères de recherche d'URL pour exposer les schémas de base de données en question.

    Après avoir été informée de l’exposition de sa base de données, la société TrueDialog l’a immédiatement mise hors ligne, mais n’a jamais daigné répondre à vpnMentor. C’est ce qu’ont déclaré les chercheurs : « Nous avons contacté la société. Nous avons divulgué nos conclusions et offert notre expertise pour les aider à fermer la fuite de données et à assurer que personne ne soit exposé à un risque. La base de données a été fermée depuis, mais TrueDialog ne nous a jamais répondu ».

    La base de données exposée contenait près d’un milliard d’entrées renfermant des données sensibles telles que des codes d'accès aux services médicaux en ligne, ainsi que des mots de passe et noms d’utilisateur pour des sites tels que Google et Facebook. Les informations personnelles contenues dans les SMS exposés pourraient constituer un atout pour les fraudeurs. Elles pourraient également servir à faire du chantage, conduire au vol d'identité et à la fraude.

    Source : VPN Mentor

    Et vous ?

    Qu’en pensez-vous ?
    Quelles mesures pensez-vous qu’il faille prendre pour s’assurer que ces entreprises fassent ce qu’il faut pour garantir la sécurité des données utilisateurs ?

    Voir aussi :

    Les données de centaines d'utilisateurs Facebook et Twitter ont été exposées aux développeurs à cause d'un SDK malveillant sur Android
    Les données personnelles de 7,5 millions d'utilisateurs d'Adobe Creative cloud exposées via une base de données Elasticsearch non sécurisée
    108 millions de paris de clients de casinos en ligne exposés via une instance Elasticsearch mal configurée, y compris les détails des utilisateurs

  2. #2
    Membre averti
    Homme Profil pro
    Étudiant
    Inscrit en
    janvier 2019
    Messages
    124
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Gabon

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2019
    Messages : 124
    Points : 360
    Points
    360
    Par défaut
    Citation Envoyé par Jonathan Voir le message
    Quelles mesures pensez-vous qu’il faille prendre pour s’assurer que ces entreprises fassent ce qu’il faut pour garantir la sécurité des données utilisateurs ?
    Puisque les sanctions financières n'ont pas l'air de marcher, la preuve avec Facebook qui a écopé d'une amende record de 5 milliards de dollars, moi je pense qu'il faille faire courir la peine de prison aux dirigeants de ces entreprises en cas de telles négligences. ça aura le mérite de les pousser à se soucier un tout petit peu des données de leurs utilisateurs.

  3. #3
    Membre à l'essai
    Femme Profil pro
    Architecte de base de données
    Inscrit en
    décembre 2019
    Messages
    4
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 31
    Localisation : France, Sarthe (Pays de la Loire)

    Informations professionnelles :
    Activité : Architecte de base de données
    Secteur : Conseil

    Informations forums :
    Inscription : décembre 2019
    Messages : 4
    Points : 12
    Points
    12
    Par défaut
    S'ils réussissent à décrypter les SMS de mes enfants je suis preneur

  4. #4
    Expert éminent
    Avatar de Michel Rotta
    Homme Profil pro
    DPO
    Inscrit en
    septembre 2005
    Messages
    4 946
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 56
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : DPO
    Secteur : Distribution

    Informations forums :
    Inscription : septembre 2005
    Messages : 4 946
    Points : 8 454
    Points
    8 454
    Par défaut
    RGPD, article 33.1. Obligation d'informer l'autorité responsable (en France, la CNIL) dans les 72 qui suivent la prise de connaissance de la fuite.

    RGPD, article 34.1. Obligation d'informer toutes les personnes physique en cas de fuite de données dans le cas où la fuite "[FONT=Verdana,Arial,Tahoma,Calibri,Geneva,sans-serif]est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, …"

    La sanction s'exprime en millions d'euro.

    J'espère que leur DPO a fait le nécessaire.
    [/FONT]
    Si tu donnes un poisson à un homme, il mangera un jour. Si tu lui apprends à pêcher, il mangera toujours (Lao Tseu).

    • Pensez à valoriser les réponses pertinantes, cliquez sur le bouton vert +1 pour indiquer votre accord avec la solution proposée.
    • Pensez à utiliser la balise [code] pour afficher du code, elle est cachée sous le bouton [#] dans l'éditeur.
    • Une discussion est terminée ? Alors le bouton est votre ami !

  5. #5
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    2 904
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 2 904
    Points : 8 472
    Points
    8 472
    Par défaut
    Citation Envoyé par Michel Rotta Voir le message
    RGPD, ....

    La sanction s'exprime en millions d'euro.

    J'espère que leur DPO a fait le nécessaire.
    Le RGPD ne s'applique pas aux américains pour des données américaines situées aux USA.

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  6. #6
    Membre averti
    Homme Profil pro
    Étudiant
    Inscrit en
    janvier 2019
    Messages
    124
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Gabon

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2019
    Messages : 124
    Points : 360
    Points
    360
    Par défaut
    Citation Envoyé par transgohan Voir le message
    Le RGPD ne s'applique pas aux américains pour des données américaines situées aux USA.
    Source ??

  7. #7
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    2 904
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 2 904
    Points : 8 472
    Points
    8 472
    Par défaut
    Euh... Le bon sens ?
    Le RGPD est appliquée par la CNIL, qui est au mieux européenne.
    Donc elle n'a pas action à protéger les droits des américains, seulement des européens.

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  8. #8
    Expert éminent sénior
    Avatar de Jipété
    Profil pro
    Inscrit en
    juillet 2006
    Messages
    8 613
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : juillet 2006
    Messages : 8 613
    Points : 12 274
    Points
    12 274
    Par défaut
    Citation Envoyé par Jonathan Voir le message
    À l'échelle mondiale, la société compte plus de 5 milliards d'abonnés,
    5 milliards, really ?
    On est combien d'habitants sur cette pauvre planète, déjà ? Bientôt 7 milliards ? Et personne n'a tiqué ?

    Citation Envoyé par Michel Rotta Voir le message
    RGPD, article 33.1. Obligation d'informer l'autorité responsable (en France, la CNIL) dans les 72 * qui suivent la prise de connaissance de la fuite.
    * = nanosecondes ? minutes ? jours ? années ? millénaires ?
    Il a à vivre sa vie comme ça et il est mûr sur ce mur se creusant la tête : peutêtre qu'il peut être sûr, etc.
    Oui, je milite pour l'orthographe et le respect du trait d'union à l'impératif.
    Après avoir posté, relisez-vous ! Et en cas d'erreur ou d'oubli, il existe un bouton « Modifier », à utiliser sans modération
    On a des lois pour protéger les remboursements aux faiseurs d’argent. On n’en a pas pour empêcher un être humain de mourir de misère.
    Mes 2 cts,
    --
    jp

Discussions similaires

  1. Réponses: 14
    Dernier message: 15/10/2016, 03h27
  2. Réponses: 8
    Dernier message: 08/07/2008, 14h33
  3. Réponses: 3
    Dernier message: 08/06/2008, 22h08
  4. Réponses: 4
    Dernier message: 14/01/2008, 09h42
  5. Création d'une base de données contenant des images
    Par gandalf_le_blanc dans le forum Décisions SGBD
    Réponses: 3
    Dernier message: 16/06/2004, 16h29

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo