Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior
    Sécurité : les 4 plus grands exploits de 2009, lequel est la bourde informatique de l'année ?
    Sécurité : les 4 plus grands exploits de 2009, lequel est la bourde informatique de l'année ?

    La fin d'année est toujours l'heure des bilans. Aussi, si on fait la rétrospective sécuritaire de 2009, 4 grosses affaires de failles durement exploitées arrivent en tête de liste. Le pire, c'est que chacune de ces histoire concerne une brèche familière. Toutes ces attaques auraient donc théoriquement pu être évitées.

    Les entreprises sont tombées sous les balles de problèmes ordinaires. Les hackers ne manquent pourtant pas de nouveaux outils.

    Voici les 4 failles plus notables de 2009 :

    1 - TSA : la "menace pour la sécurité nationale"
    La Transportation Security Administration américaine (TSA) a commis l'une des plus belles bourdes de l'année : l'organisation a en effet, accidentellement, publié sur un site Internet public l'intégralité d'un manuel qui expliquait en détail ses procédures sécuritaires au sein d'un aéroport (la fouille des passagers, la recherche d'explosifs, les règles spéciales appliquées pour les membres du gouvernement et de la CIA, les configurations techniques précises des détecteurs de métaux et d'explosifs, etc.).
    La gaffe fut qualifiée de "menace pour la sécurité nationale".

    2 - Heartland Payment Systems : vol de 130 millions de numéros de cartes de crédit
    Ici, la technique utilisée fut un "grand classique" du piratage informatique : l'injection SQL. Les pirates ont réussi à s'introduire dans le réseau interne d'un système de paiement en ligne pour y voler la bagatelle de 130 mllions de numéros de cartes de crédit. Un record historique qui a balayé d'un revers le précédent record de 94 millions relatif au hack de TJX Compagnies en 2007.

    3 - Health Net : le disque dur évanoui
    La compagnie Health Net a réussi à égarer un disque dur qui ne contenait pas moins de 7 ans de données non cryptées à propos des informations personnelles, financières et médicales d'environ 1.5 millions de ses clients. Mais, pire encore que cette bourde phénoménale, l'entreprise n'a pas jugé bon d'en avertir ses clients avant que six mois ne se soient écoulés depuis la perte du disque... Pourtant, leurs numéros de sécurité sociale y figuraient...

    4 - RockYou Inc : 32 millions de mots de passe stockés en clair
    La dernière affaire en date, bien que la plus récente, n'est pas la moindre. Suite à une fille de sécurité, un hacker à réussi l'exploit de voler sur les serveurs de l'entreprise conceptrice d'applications pour réseaux sociaux RockYou un fichier contenant les identifiants et mots de passe de plus de 32 millions de membres inscrits, où toutes les informations étaient disponibles en clair. Aucun cryptage...

    Laquelle de ces failles vous parait être la bourde de l'année en matière de sécurité informatique ?

  2. #2
    Membre averti
    On a du fin gratin là, difficile de déterminer laquelle de ces bourdes est la plus grave. En terme de gravité "pur", je dirais que la bourde de la TSA est probablement la plus conséquente d'un point de vue général, mais d'un point de vue purement technique, stocker des passwords en clair à la "RockYou" est probablement la plus importante erreur technique de conception.

  3. #3
    Nouveau Candidat au Club
    Le détournement de serveur DNS de Twitter! Pour moi ça me paraît gros! Le gars qui a fait ça devait connaître d'avance comment était fait le serveur DNS...

  4. #4
    Membre émérite
    Citation Envoyé par Katleen Erna Voir le message
    Suite à une fille de sécurité
    Cette phrase m'a bien fait rire.

    Maintenant, le coup du disque dur égaré a tout l'air d'une énorme faille humaine. Je n'avais pas entendu parler de l'affaire, mais je me dis que certains prennent vraiment la sécurité des données par-dessus la jambe pour être capable d'égarder un objet pareil.

  5. #5
    Modérateur

    Citation Envoyé par Chuck_Norris Voir le message
    je me dis que certains prennent vraiment la sécurité des données par-dessus la jambe
    Et quand on sait à quel point chuck norris peut lever haut ses jambes, on comprend mieux l'ampleur de ce qu'il dit

    Pour revenir au sujet, les erreurs humaines, finalement ça arrive tous les jours. Par contre, stocker des mdp en clair relève quand même de l'incompétence crasse à ce niveau.
    Mon projet du moment: BounceBox, un jeu multijoueurs sur Freebox, sur PC et depuis peu sur smartphone/tablette Android.

  6. #6
    Membre régulier
    Citation Envoyé par Katleen Erna Voir le message

    1 - TSA : la "menace pour la sécurité nationale"
    Faudra qu'on m'explique, comment on peut accidentellement publier un manuel sur un site publique.
    Citation Envoyé par Katleen Erna Voir le message

    2 - Heartland Payment Systems : vol de 130 millions de numéros de cartes de crédit
    Erreur classique, probablement du à une négligence humaine, mais qui aurait pu arriver à n'importe qui. Par contre avoir caché l'information alors que les données volées sont aussi sensibles me parait impardonnable.
    Citation Envoyé par Katleen Erna Voir le message

    3 - Health Net : le disque dur évanoui
    Ça ressemble à un vol de donnée maquillé en erreur humaine. Y'a-t-il eu des estimations des pertes occasionné?
    Citation Envoyé par Katleen Erna Voir le message

    4 - RockYou Inc : 32 millions de mots de passe stockés en clair
    Ce n'est pas tant incompétence du développeur qui me dérange (quoique), mais surtout le fait que de toutes les personne qui auraient pu voir(ou qui voyait) que les informations étaient stockés en clair, personne n'ai eu l'idée de réparé la bévue. Et puis, stocké ces infos dans un fichier texte? qui fait ça aujourd'hui?

  7. #7
    Membre à l'essai
    Toutes ces failles groupées ça donne froid dans le dos ...

  8. #8
    Membre confirmé
    Citation Envoyé par Katleen Erna Voir le message
    3 - Health Net : le disque dur évanoui
    La compagnie Health Net a réussi à égarer un disque dur qui ne contenait pas moins de 7 ans de données non cryptées à propos des informations personnelles, financières et médicales d'environ 1.5 millions de ses clients. Mais, pire encore que cette bourde phénoménale, l'entreprise n'a pas jugé bon d'en avertir ses clients avant que six mois ne se soient écoulés depuis la perte du disque... Pourtant, leurs numéros de sécurité sociale y figuraient...
    J'appelle ça un attentat
    Il est difficile de retrouver ses erreurs lorsqu'on est persuadé que son code est juste...

    Groupe des développeurs ivoiriens

  9. #9
    Membre chevronné
    En effet c'est du lourd...

    Même moi sans cours de sécurité à l'époque, lorsque j'ai fais mon site (2ème année de bts), j'ai stocké le mot de passe sous forme d'un hash. Alors je trouve ça impardonnable de la part de RockYou Inc.

    Le coup du manuel diffusé sur la toile est pas mal aussi, par contre je voudrai pas être à la place du gars qui l'a fait
    dam's

  10. #10
    Membre habitué
    Les 4 sont 1ers ex aequo pour moi, tellement il est difficile de choisir

    Quoique la TSA est quand même énorme et celle qui peut être la plus lourde de conséquence

  11. #11
    Membre confirmé
    Citation Envoyé par Katleen Erna Voir le message
    1 - TSA : la "menace pour la sécurité nationale"
    La Transportation Security Administration américaine (TSA) a commis l'une des plus belles bourdes de l'année : l'organisation a en effet, accidentellement, publié sur un site Internet public l'intégralité d'un manuel qui expliquait en détail ses procédures sécuritaires au sein d'un aéroport (la fouille des passagers, la recherche d'explosifs, les règles spéciales appliquées pour les membres du gouvernement et de la CIA, les configurations techniques précises des détecteurs de métaux et d'explosifs, etc.).
    La gaffe fut qualifiée de "menace pour la sécurité nationale".
    Ça été fait exprès et ça mérite une puis et enfin
    Il est difficile de retrouver ses erreurs lorsqu'on est persuadé que son code est juste...

    Groupe des développeurs ivoiriens

  12. #12
    Membre éclairé
    Le coup du manuel "accidentellement publié", c'est pas forcément une bourde... Je trouve que ça ressemble plutôt à une manoeuvre destinée à améliorer la sécurité. Laisser "fuir" un manuel qui comporte un tas d'infos déjà éventées + quelques infos nouvelles et vérifiables + quelques infos nouvelles et fausses, ça crée des honeypots non ?

    Le disque dur c'est probablement une erreur davantage qu'une faute ; il y a toujours des erreurs, les voleurs sont entraînés à les repérer... Faut voir comment le coup a été fait, on peut éventuellement laisser le bénéfice du doute (pour le moment) aux responsables...

    Pour les cartes de crédit, là ça commence à envoyer du gros, au minimum la direction non technique n'a pas eu la compétence d'engager quelqu'un de compétent pour s'occuper de la sécurité, et en plus n'a aucun moyen de vérifier le boulot... C'est donc peut-être plutot une faute du management. Là encore, bénéfice du doute à l'éventuel technicien informatique ?

    Les mots de passe en clair, ça en revanche, ya aucun doute... Tout technicien informatique responsable de cette situation aurait le rouge au front, même dans 50 ans, à mon avis. Faut vraiment avoir jamais *pensé* à la sécurité pour stocker en clair des mots de passe d'utilisateurs de réseaux sociaux...

    Cela dit, la plus grosse bourde de l'année est probablement encore inconnue, cachée quelque part, soit déjà en train d'agir en silence, soit en train de se préparer à agir, en raison de la loi universelle de la sécurité : "la connerie à laquelle tu penses est déjà en cours, celle à laquelle tu dois penser se prépare"
    Sans danger si utilisé conformément au mode d'emploi.

    (anciennement BenWillard, enfin moins anciennement que ... enfin bon c'est une longue histoire... Un genre de voyage dans le temps...)

  13. #13
    Membre éprouvé
    Je crois que la plus marquante reste rock in you mais je dois dire que les autres se battent la place...
    Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn

  14. #14
    Membre averti
    Pour le coup du "accidentellement publié", ça reste plausible à mon avis. Une erreur de droits sur un dossier ou un fichier pendant une mise à jour ou l'exécution d'un script, ça peut arriver. Non pas que ce soit inévitable

  15. #15
    Membre chevronné
    1 - TSA : la "menace pour la sécurité nationale"
    sans doute le plus grave selon moi.
    parce que même si les autres sont d'un très grand niveau. celui la c'est juste la sécurité de personnes qui et en jeux...
    un jour, quelqu'un a dit quelque chose...

  16. #16
    Membre chevronné
    Citation Envoyé par yoyo88 Voir le message
    sans doute le plus grave selon moi.
    parce que même si les autres sont d'un très grand niveau. celui la c'est juste la sécurité de personnes qui et en jeux...
    En effet, c'est grave en 2009 de croire que la sécurité par l'obscurantisme est une garantie de quelque chose.

    Si c'est infos ont besoin d'être secrètes pour assurer la sécurité, alors c'est que le système était de toute façon mal fichu.

  17. #17
    Membre chevronné
    Citation Envoyé par deadalnix Voir le message
    En effet, c'est grave en 2009 de croire que la sécurité par l'obscurantisme est une garantie de quelque chose.
    c'est pas une garantie de quelque chose, mais les données sur les "détail ses procédures sécuritaires au sein d'un aéroport" sur internet disponible en claire...

    Citation Envoyé par deadalnix Voir le message

    Si c'est infos ont besoin d'être secrètes pour assurer la sécurité, alors c'est que le système était de toute façon mal fichu.
    y'a certaine données qui doivent rester sercrete, tu croit pas?
    sinon tu peut toujours nous données ton numéro de carte bleu ainsi que ton code confidentiel...
    un jour, quelqu'un a dit quelque chose...

  18. #18
    Membre chevronné
    Citation Envoyé par yoyo88 Voir le message
    y'a certaine données qui doivent rester sercrete, tu croit pas?
    À part la clef, non.

    Le numéro de la carte de crédit est apr exemple la clef du payement.

    Le reste de la procédure est connu, cela ne pose pas de problèmes. C'est le BA B A de la sécurité. Cela s'appelle le principe de Kerckhoffs.

    Si ta politique de sécurité n'est pas conforme à ce principe, alors tu peux en conclure que c'est de la merde en boite.

    Ça ne veux pas dire qu'il faut absolument publier les infos, mais que la publication de ces infos ne doit pas être une menace sur la sécurité de ton système. Donc, si la publication des infos du cas 1 pose un problème de sécurité, c'est que la politique de sécurité n'est pas conforme au principe de Karckhoffs, et que c'est donc de la merde en boite.

    Bref, le problème, c'est bien que la publication de ces infos pose problème, pas la publication de ces infos.

  19. #19
    Membre chevronné
    Le reste de la procédure est connu, cela ne pose pas de problèmes. C'est le BA B A de la sécurité. Cela s'appelle le principe de Kerckhoffs.

    Si ta politique de sécurité n'est pas conforme à ce principe, alors tu peux en conclure que c'est de la merde en boite.
    Je suis d'accord mais la on parle ici des procédure de sécurité d'un aéroport qui ont été mise sur internet, pas d'un système informatique...

    c'est quand même sacrement différent...
    un jour, quelqu'un a dit quelque chose...

  20. #20
    Membre chevronné
    La sécurité d'un système doit être considérée dans son ensemble. Faire la différence ainsi entre info et autre chose est un non sens.

    Ici, si par exemple on contrôle l'accès à un zone de l'aéroport, connaitre la façon dont se fait ce contrôle ne doit pas permettre de s'y soustraire. C'est exactement la même chose.