Discussion :

[Lyche]

65Millions, c'est pas Enorme ! 2€ par carte là, c'est du rentable, ensuite tu revends les numéros et les coordonnées à des personnes intéressées, et là, tu fais révolution économique dans ta vie !
Par contre, tu risques de finir en prison

[CyuLat]

Je viens de voir les infos sur TF1 et pour ceux qui n'auraient pas vu, ils ont dit qu'un américain de 28 ans (au lieu de 3 donc) a pirater des données bancaires en récupérant celles-ci pendant que la transaction avait lieu dans le magasin en s'introduisant dans le système par wifi... (imaginez le temps passé devant les magasins pour récupérer 130 millions de transactions ^^)
Ca c'est de l'info quand même, ils osent même pas dire que les sociétés sauvegardes les données bancaires...

Vous allez me dire que ce n'est pas nouveau, que tf1 arrange toujours tout à sa sauce et ne montre que ce qu'ils veulent et je suis 100% d'accord, je voulais juste repousser un coup de gueule afin que les gens prennent conscience que TF1 ne nous balance que des conneries!

[Lyche]

Mais parfois, c'est important de cacher la vérité. Imagine, si toutes les fois ou il y a des vols, on met en cause le système de sécurité informatique alors qu'on tend au tout informatique. Que vont penser les usager? Quelle sécurité peut-il y avoir sur informatique si on peut leur pirater leurs données personnelles et pire encore, leur seul moyen d'utiliser leur argent.
Attention, je n'excuse absolument pas TF1. Mais c'est une sorte de protectorat de l'acquis en quelque sorte. Nous sommes au balbutiement de l'ère numérique et on ne peut pas se permettre de tout remettre en cause à cause de 3 clampains qui en connaissent les failles. Et pour nous aussi, développeurs, si de grosses entreprises apprennent que c'est une erreur de développement. Parce qu'une attaque par injection SQL c'est quand même une énorme erreur de sécurité de la part des concepteurs applicatif, il faut pas le nier non plus.
Pour moi cette affaire, si ça pars trop loin, ça peux nous porter préjudice OU, au contraire, nous aider pour les futurs développement en montrant aux entreprises qu'il ne faut jamais négliger la sécurité des applications. Mais là, c'est de l'utopie

[Gordon Fowler]

MAJ 31/08/09 : Vol de 130 millions de cartes bleues : Albert Gonzalez plaide coupable, il risque un peine de 15 à 25 ans

[Sunsawe]

Mais parfois, c'est important de cacher la vérité. Imagine, si toutes les <snip>

Je ne suis pas tout à fait d'accord avec toi. Je ne pense pas que ce soit un motif valable pour cacher la vérité. C'est le contraire même de mon point de vue.
C'est comme lorsqu'on a dit que le nuage de Tchernobyl s'était arrêté aux frontières pour que les gens n'arrêtent pas de consommer des légumes. Le résultat on le connait.
C'est comme si on avait caché aux gens les risques de la chirurgie.

Il faut pour moi faire le contraire. Leur dire, oui, ça, ça peut arriver! oui ça, c'est dangereux. Par la suite, ce sera aux gens concernés, de convaincre le client, qu'ils ont tout fait pour que ça n'arrive pas! Du coup, on crée un moteur qui va pousser à l'amélioration des systèmes. Les acteurs du métier se chargeront se pencheront sérieusement sur le problème pour trouver une solution et l'implémenter parce que... c'est leur métier!

non?

[Lyche]

Je crois qu'il y a une petite différence entre l'histoire du nuage de tchernobyle, et le piratage d'un système de base de données. Autant, question santé publique, je ne cautionne absolument pas le mensonge, autant pour protéger certains intérêts, je crois que cela peut être utile.
Imagine, si à chaque fois qu'une crise politique éclate, on expliquait pourquoi, et quelles auraient pu être les conséquences de cette crise. La panique que cela pourrait déclancher. Maintenant, imagine que l'on explique au petit Français lambda, que les 130millions de cartes volées l'ont été parce qu'il y avait un défaut de sécurité dans la gestion informatique.. Tu crois qu'il va se passer quoi au bout de la 4 ou 5ème fois? Ne penses tu pas qu'a trop en dire on s'expose à des retour de bâton extrêmement violent? Je ne dis pas que le mensonge c'est bien. Je dis simplement qu'il y a des choses que le grand public n'a pas à savoir.
Les personnes qui doivent être informées des erreurs de ce type sont ceux qui prennent les décision stupide de raccourcir les délais de livraison des application. Ainsi que les profs pour améliorer la formation des futurs professionnels.
Plonger dans la panique la masse en lui racontant la vérité absolue, c'est, pour moi, plus dangereux que lui dire une partie seulement des choses.
Attention, il y a des cas, comme tchernobyle qui ne devraient pas être traité comme tel. Mais c'est une appréciation qui est basée sur mes réflexions et je suis loin d'avoir la science infuse (je dirais même diffuse )
Cordialement.

[Sunsawe]

@Lyche
Oui... mais non. Ce que tu dis a du sens mais... non, je ne suis toujours pas d'accord. Oui Tchernobyl, c'est pas le même impact mais le principe est le même. Parce qu'en fait, en cachant la vérité à "la france d'en bas", pour ne pas changer, on reproduit le même schéma insupportable.

Ceux d'en haut continueront à se moquer de la sécurité de ceux d'en bas! Après tout, pourquoi s'en soucieraient ils?
- Il ne s'agit pas de leurs ressources
- ça leur coute cher de sécuriser
- en cas de soucis, de toute façon, personne n'en saura rien grace au "mensonge pour cause économique"
Et voilà, la boucle est bouclée.

Je ne suis pas naïf (en tout cas pas à ce point) je vois très bien que les raisons que j'expose, sont les mêmes qui motivent ces mensonges. Mais ils ne profitent qu'aux mêmes.
Le désastre provoqué par "la vérité" est relatif. On l'imagine, sans le connaitre. A moins de n'avoir l'exemple d'un secteur (je dis bien secteur entier) ou un pays, qui aurait coulé par abus de vérité.
On se sait pas ce que ça donnerait. ce qui est sur, c'est que ça n'arrangerait pas les puissants.

[souviron34]

en tous cas, c'est bien une raison pour absolument minimiser toutes transactions financières par le Web..

En fait le meilleur système est peut-être celui employé par les boites comme les 3 Suisses .. : tu demandes une carte, QUI N'EST PAS UNE CARTE BANCAIRE. tu rentres le numéro de carte.. Chez eux ils ont la correspondance avec l'adresse. Ils ont une trace de livraison. Ensuite ils envoient la facture par la poste..

Très nettement plus compliqué à détourner..

[souviron34]

Deux choses distinctes :
1 : La protection des données sensibles doit (devrait) être une priorité pour toutes sociétés ayant à en gérer ! Personnellement, pour mes achats j'utilise une "eCard" ce qui restreint les risques, puisque le n° de carte est à usage unique et pour un montant précis.

Je crois que le fond du problème est que pour la plupart (dont cette citation) vous négligez une chose : entre le site et votre ordinateur, il y a le réseau..

Et sur le réseau, absolument rien ne garanti que pour aller d'ici au coin de le rue le paquet ne passe pas par Hong Kong, la Corée, la Mongolie Extérieure, et j'en passe...

Sur donc les potentiellements milliers de noeuds impliqués, le nombre de sniffers et d'intercepteurs est absolument gigantesque, et donc les possibilités de piratage non moins gigantesques...

2 : Le "mensonge" médiatique est intolérable !

Très nettement moins que le fait de voir son compte mis à sec et d'être interdit bancaire...

Rappelons bêtement que 130 millions de cartes = 2.5% de la population mondiale...

[souviron34]

Minimiser les risques encourus en divulguant sur le net ses coordonnées bancaires, pour des raisons que je n'ose supposer, est à mon sens un acte criminel aussi important que de mettre à sec un compte en piratant la carte bancaire !

Absolument..

Je m'excuse, je n'avais pas compris ça dans ton paragraphe

[Gordon Fowler]

MAJ : Albert Gonzalez reconnait les faits

[kaymak]

Pourquoi le stocker ?

C'est une excellente question, pour ma part la seul raison et que l'on cherche les ennuies ou que l'on est très sûr de son système de sécurité, vraiment très très sûr... Exemple Nierle.com qui il y a quelques années avait connu un sort identique.

De plus si un site stock vos numéro de CB il doit de manière ostensible vous le signaler.

Enfin certain site tel qu'Amazone stock vos numéro de CB mais j'ose croire, pas forcément avec raison, qu'Amazone a une sécurité digne de ce nom pour éviter se genre de déconvenue.

Cordialement,

Salut,

le cas peut se présenter sur des applications qui travaillent avec de vieux systèmes, des RC (Relation client) de re saisit ect.
Dans ces systèmes logistiques ils n'ont pas forcément d'autres choix à disposition, et c'est même parfois un souhait que de fonctionner ainsi en faisant transiter le numéro du site internet vers le bo.

A charge de la maitrise d'oeuvre de tiré les sonnettes d'alarmes, lever des panneaux rouges, faire le nécessaire ect,
mais bon,
dans tous les cas,
faut faire avancer le business.

a plus

[Katleen Erna]

Mise à jour du 29.03.2010 par Katleen

Comment faut-il juger les cybercriminels ? Un hacker condamné à 20 ans de prison pour vol de données

Après une délibération longue, c'est un verdict lourd qui a été rendu avec plusieurs mois de retards sur la date annoncée en début de procès.

Rappelez-vous, fin 2009, nous vous avions parlé d'Albert Gonzalez, ce pirate qui avait dérobé plus de 130 millions de numéros de cartes de crédit.

Lors de son procès, il avait finalement décidé de plaider coupable.

Le pirate de 28 ans était inquiet de la sentence qui l'attendait, mais s'attendait-il à une peine aussi lourde ?

Jeudi, il a été condamné par un tribunal de Boston (Massachussets) à vingt ans de prison.

C'est la peine la plus lourde jamais prononcée pour du piratage de données

L'homme de 28 ans ne s'est pas arrêté en si bon chemin, et il devra comparaitre en fin de semaine pour les chefs d'accusation de complot, fraude informatique et vol d'identité pour d'autres actes de piratage.

Sa peine pourrait ainsi se rallonger de 5 ans.

La justice américaine a voulu faire de ce cas un exemple, comme l'a expliqué la juge Patti Saris : «Même si vous éprouvez des remords (...), je dois lancer un message, vu l'énorme coût de votre délit».

Albert Gonzales avait de plus dissimulé un million de dollars dans le jardin de ses parents. Somme qu'il a restituée aux autorités pour rembourser une partie de ses victimes.

Gonzales souhaitait mettre 15 millions de dollars de côté, s'acheter un yacht, et prendre sa retraite. Il va la prendre, c'est sûr, mais à l'ombre.

[Inazo]

Bonjour,

Je penses que sur ce genre de cas il faut vraiment être sévère. Pourquoi ? Cette personne ne se rend pas compte que la majorité des données bancaire qu'il a volé, sont à des gens qui triment dur toute la journée pour avoir pas grand chose au final.

Encore chez nous c'est la banque qui paye une bonne partie du temps mais aux US c'est pas gagné.

Donc 20 ans normal en plus c'est un récidiviste donc aux US qu'il s'estime heureux car ils ne sont pas réputé pour avoir des peines légère.

Cordialement,

[deadalnix]

Sauf que ces personnes ne sont pas impacté si la responsabilité ne leur revient pas.

La banque est tenus d'assurer au moins 10 000€ par compte, et l'état prend même en charge si la banque fait banqueroute.

Pour moi, la peine doit être en proportion du préjudice subit. la question est donc, qu'a fait ce monsieur avec ces numéros ? S'ils ne les a pas utilisés, un telle peine est injustifiée. Dans le cas contraire, faut voir le montant.

[zoonel]

ca fait peut être beaucoup mais il est récidiviste si je ne m'abuse

[lollancf37]

Je pense qu'il faut prendre un peu de perspective ...

Certaines personnes s'en sorte avec beaucoup moins d'années de prison pour des crimes comme le viol, voir la pédophilie ...(oui oui je parle bien de états uni).

Le vol est un délit et volé autant d'argent c'est grave mais soyons réaliste, ce n'est pas un Bernard Madoff...

Moi la question que je pose, c'est qu'elle est le préjudice de ses actions ? A t'il ruiner des familles entieres ? En clair qu'est-ce qu'il l'a fait et a qui exactement a t'il fait du tord mais surtout qu'elle a été l'ampleur des conséquences de ces actions.

Ce qui me fait vraiment le plus tripper c'est cette phrase : «Même si vous éprouvez des remords (...), je dois lancer un message, vu l'énorme coût de votre délit». Sa fait genre : "écoute mec, je sais que t'es pas une ordure complete mais vu la somme d'argent que tu as volé, je vais faire de ta vie un example. C'est pas vraiment toi que je juge, je me sers juste de ton existence pour lancer un message :-). Sans rancune." Alors que l'histoire a démontré clairement que les examples, sa ne servait a rien...

Bref je ne veux pas minimiser ce que ce type a fait mais 20 ans de prisons pour vol sa me fait un peu flipper meme pour un récidiviste mais bon ensuite comme je l'ai dit, il faudrait en savoir plus pour etre impartiale, chose que cette juge n'a pas été vu qu'elle s'est servis de son cas pour en faire un example. On ne me fera pas croire que faire un example d'un individu tend vers l'impartialité.

[Thorna]

Moi la question que je pose, c'est qu'elle est le préjudice de ses actions ? A t'il ruiner des familles entieres ? En clair qu'est-ce qu'il l'a fait et a qui exactement a t'il fait du tord mais surtout qu'elle a été l'ampleur des conséquences de ces actions.

Pour moi, la peine doit être en proportion du préjudice subit. la question est donc, qu'a fait ce monsieur avec ces numéros ? S'ils ne les a pas utilisés, un telle peine est injustifiée. Dans le cas contraire, faut voir le montant.

C'est sûr qu'il ne les a piqués que pour s'amuser, pas pour en profiter. Les 15 millions qu'il voulait pour se mettre en retraite, il les aurait sans doute retirés sur son propre compte...
Imaginez juste une seconde que votre compte soit dans la liste, et que par hasard une partie de ces 15 millions en provienne. Il vous aurait piqué votre voiture, même pour la stocker dans un grand parking et ne jamais s'en servir, vous ne réagiriez pas comme ça. Vous faites tout simplement partie de ceux pour qui le "virtuel" ça n'est pas grave. Malheureusement, tout dans notre vie le devient.
Et donc il a été condamné, c'est parfait. Si seulement cette peine pouvait décourager les suivants.

Facebook modifie à nouveau ses paramètres de confidentialité, le cookie utilisateur à disposition de sites tiers

Et ça, c'est exactement la même chose !

[bonano]

protéger une appli des attaques SQL c'est quand même pas ce qui prend le plus de temps dans une appli hein...

Je me demande qu'est ce que un developeur va ajouter dans son code pour protéger son appli des attaques SQL? Je pense qu'au DBA de faire le necessaire, je me trompe??

[Lyche]

Je me demande qu'est ce que un developeur va ajouter dans son code pour protéger son appli des attaques SQL? Je pense qu'au DBA de faire le necessaire, je me trompe??

un exemple sur php, tu as la fonction mysql_real_escape_string() qui te permet les injection sql de type
Mais, je ne suis pas spécialiste, alors je te laisse regarder la page wiki pour ça (je trouve leurs exemples un peu particuliers)
[ame]http://fr.wikipedia.org/wiki/Injection_SQL[/ame]
En ce qui concerne le reste, l'injection SQL tu peux l'éviter en faisant des procédures stockées et non en stockant ta requête en brute dans ton fichier et en la faisant interprété par ta base de données lorsque tu fais ta connexion.

bref, l'injection sql c'est du côté dev aussi.