IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Affichage des résultats du sondage: Quelle faille de sécurité est la plus grande bourde de 2009 ?

Votants
148. Vous ne pouvez pas participer à ce sondage.
  • 1 - TSA : la "menace pour la sécurité nationale"

    25 16,89%
  • 2 - Heartland Payment Systems : vol de 130 millions de numéros de cartes de crédit

    37 25,00%
  • 3 - Health Net : le disque dur évanoui

    20 13,51%
  • 4 - RockYou Inc : 32 millions de mots de passe stockés en clair

    64 43,24%
  • 5 - Autre (merci de préciser)

    2 1,35%
  1. #1
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    Juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Juillet 2009
    Messages : 1 547
    Points : 76 188
    Points
    76 188
    Par défaut Sécurité : les 4 plus grands exploits de 2009, lequel est la bourde informatique de l'année ?
    Sécurité : les 4 plus grands exploits de 2009, lequel est la bourde informatique de l'année ?

    La fin d'année est toujours l'heure des bilans. Aussi, si on fait la rétrospective sécuritaire de 2009, 4 grosses affaires de failles durement exploitées arrivent en tête de liste. Le pire, c'est que chacune de ces histoire concerne une brèche familière. Toutes ces attaques auraient donc théoriquement pu être évitées.

    Les entreprises sont tombées sous les balles de problèmes ordinaires. Les hackers ne manquent pourtant pas de nouveaux outils.

    Voici les 4 failles plus notables de 2009 :

    1 - TSA : la "menace pour la sécurité nationale"
    La Transportation Security Administration américaine (TSA) a commis l'une des plus belles bourdes de l'année : l'organisation a en effet, accidentellement, publié sur un site Internet public l'intégralité d'un manuel qui expliquait en détail ses procédures sécuritaires au sein d'un aéroport (la fouille des passagers, la recherche d'explosifs, les règles spéciales appliquées pour les membres du gouvernement et de la CIA, les configurations techniques précises des détecteurs de métaux et d'explosifs, etc.).
    La gaffe fut qualifiée de "menace pour la sécurité nationale".

    2 - Heartland Payment Systems : vol de 130 millions de numéros de cartes de crédit
    Ici, la technique utilisée fut un "grand classique" du piratage informatique : l'injection SQL. Les pirates ont réussi à s'introduire dans le réseau interne d'un système de paiement en ligne pour y voler la bagatelle de 130 mllions de numéros de cartes de crédit. Un record historique qui a balayé d'un revers le précédent record de 94 millions relatif au hack de TJX Compagnies en 2007.

    3 - Health Net : le disque dur évanoui
    La compagnie Health Net a réussi à égarer un disque dur qui ne contenait pas moins de 7 ans de données non cryptées à propos des informations personnelles, financières et médicales d'environ 1.5 millions de ses clients. Mais, pire encore que cette bourde phénoménale, l'entreprise n'a pas jugé bon d'en avertir ses clients avant que six mois ne se soient écoulés depuis la perte du disque... Pourtant, leurs numéros de sécurité sociale y figuraient...

    4 - RockYou Inc : 32 millions de mots de passe stockés en clair
    La dernière affaire en date, bien que la plus récente, n'est pas la moindre. Suite à une fille de sécurité, un hacker à réussi l'exploit de voler sur les serveurs de l'entreprise conceptrice d'applications pour réseaux sociaux RockYou un fichier contenant les identifiants et mots de passe de plus de 32 millions de membres inscrits, où toutes les informations étaient disponibles en clair. Aucun cryptage...

    Laquelle de ces failles vous parait être la bourde de l'année en matière de sécurité informatique ?

  2. #2
    Membre confirmé Avatar de Jérémie A.
    Profil pro
    Inscrit en
    Août 2008
    Messages
    270
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : Belgique

    Informations forums :
    Inscription : Août 2008
    Messages : 270
    Points : 450
    Points
    450
    Par défaut
    On a du fin gratin là, difficile de déterminer laquelle de ces bourdes est la plus grave. En terme de gravité "pur", je dirais que la bourde de la TSA est probablement la plus conséquente d'un point de vue général, mais d'un point de vue purement technique, stocker des passwords en clair à la "RockYou" est probablement la plus importante erreur technique de conception.

  3. #3
    Nouveau Candidat au Club

    Profil pro
    Étudiant
    Inscrit en
    Novembre 2008
    Messages
    70
    Détails du profil
    Informations personnelles :
    Âge : 33
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Novembre 2008
    Messages : 70
    Points : 0
    Points
    0
    Par défaut
    Le détournement de serveur DNS de Twitter! Pour moi ça me paraît gros! Le gars qui a fait ça devait connaître d'avance comment était fait le serveur DNS...

  4. #4
    Membre émérite

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Avril 2006
    Messages
    666
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 84
    Localisation : France

    Informations professionnelles :
    Activité : Administrateur de base de données
    Secteur : Service public

    Informations forums :
    Inscription : Avril 2006
    Messages : 666
    Points : 2 817
    Points
    2 817
    Billets dans le blog
    1
    Par défaut
    Citation Envoyé par Katleen Erna Voir le message
    Suite à une fille de sécurité
    Cette phrase m'a bien fait rire.

    Maintenant, le coup du disque dur égaré a tout l'air d'une énorme faille humaine. Je n'avais pas entendu parler de l'affaire, mais je me dis que certains prennent vraiment la sécurité des données par-dessus la jambe pour être capable d'égarder un objet pareil.

  5. #5
    Modérateur
    Avatar de nouknouk
    Homme Profil pro
    Inscrit en
    Décembre 2006
    Messages
    1 655
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France

    Informations forums :
    Inscription : Décembre 2006
    Messages : 1 655
    Points : 2 161
    Points
    2 161
    Par défaut
    Citation Envoyé par Chuck_Norris Voir le message
    je me dis que certains prennent vraiment la sécurité des données par-dessus la jambe
    Et quand on sait à quel point chuck norris peut lever haut ses jambes, on comprend mieux l'ampleur de ce qu'il dit

    Pour revenir au sujet, les erreurs humaines, finalement ça arrive tous les jours. Par contre, stocker des mdp en clair relève quand même de l'incompétence crasse à ce niveau.
    Mon projet du moment: BounceBox, un jeu multijoueurs sur Freebox, sur PC et depuis peu sur smartphone/tablette Android.

  6. #6
    Membre régulier
    Inscrit en
    Septembre 2007
    Messages
    114
    Détails du profil
    Informations forums :
    Inscription : Septembre 2007
    Messages : 114
    Points : 120
    Points
    120
    Par défaut
    Citation Envoyé par Katleen Erna Voir le message
    1 - TSA : la "menace pour la sécurité nationale"
    Faudra qu'on m'explique, comment on peut accidentellement publier un manuel sur un site publique.
    Citation Envoyé par Katleen Erna Voir le message
    2 - Heartland Payment Systems : vol de 130 millions de numéros de cartes de crédit
    Erreur classique, probablement du à une négligence humaine, mais qui aurait pu arriver à n'importe qui. Par contre avoir caché l'information alors que les données volées sont aussi sensibles me parait impardonnable.
    Citation Envoyé par Katleen Erna Voir le message
    3 - Health Net : le disque dur évanoui
    Ça ressemble à un vol de donnée maquillé en erreur humaine. Y'a-t-il eu des estimations des pertes occasionné?
    Citation Envoyé par Katleen Erna Voir le message
    4 - RockYou Inc : 32 millions de mots de passe stockés en clair
    Ce n'est pas tant incompétence du développeur qui me dérange (quoique), mais surtout le fait que de toutes les personne qui auraient pu voir(ou qui voyait) que les informations étaient stockés en clair, personne n'ai eu l'idée de réparé la bévue. Et puis, stocké ces infos dans un fichier texte? qui fait ça aujourd'hui?

  7. #7
    Membre à l'essai
    Profil pro
    Inscrit en
    Décembre 2007
    Messages
    20
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : Décembre 2007
    Messages : 20
    Points : 21
    Points
    21
    Par défaut
    Toutes ces failles groupées ça donne froid dans le dos ...

  8. #8
    Membre confirmé Avatar de vg-matrix
    Inscrit en
    Février 2007
    Messages
    1 220
    Détails du profil
    Informations personnelles :
    Âge : 34

    Informations forums :
    Inscription : Février 2007
    Messages : 1 220
    Points : 612
    Points
    612
    Par défaut
    Citation Envoyé par Katleen Erna Voir le message
    3 - Health Net : le disque dur évanoui
    La compagnie Health Net a réussi à égarer un disque dur qui ne contenait pas moins de 7 ans de données non cryptées à propos des informations personnelles, financières et médicales d'environ 1.5 millions de ses clients. Mais, pire encore que cette bourde phénoménale, l'entreprise n'a pas jugé bon d'en avertir ses clients avant que six mois ne se soient écoulés depuis la perte du disque... Pourtant, leurs numéros de sécurité sociale y figuraient...
    J'appelle ça un attentat
    Il est difficile de retrouver ses erreurs lorsqu'on est persuadé que son code est juste...

    Groupe des développeurs ivoiriens

  9. #9
    Membre expert
    Profil pro
    Inscrit en
    Mars 2005
    Messages
    1 683
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : France

    Informations forums :
    Inscription : Mars 2005
    Messages : 1 683
    Points : 3 100
    Points
    3 100
    Par défaut
    En effet c'est du lourd...

    Même moi sans cours de sécurité à l'époque, lorsque j'ai fais mon site (2ème année de bts), j'ai stocké le mot de passe sous forme d'un hash. Alors je trouve ça impardonnable de la part de RockYou Inc.

    Le coup du manuel diffusé sur la toile est pas mal aussi, par contre je voudrai pas être à la place du gars qui l'a fait
    dam's

  10. #10
    Membre averti Avatar de zabibof
    Inscrit en
    Février 2007
    Messages
    188
    Détails du profil
    Informations forums :
    Inscription : Février 2007
    Messages : 188
    Points : 344
    Points
    344
    Par défaut
    Les 4 sont 1ers ex aequo pour moi, tellement il est difficile de choisir

    Quoique la TSA est quand même énorme et celle qui peut être la plus lourde de conséquence

  11. #11
    Membre confirmé Avatar de vg-matrix
    Inscrit en
    Février 2007
    Messages
    1 220
    Détails du profil
    Informations personnelles :
    Âge : 34

    Informations forums :
    Inscription : Février 2007
    Messages : 1 220
    Points : 612
    Points
    612
    Par défaut
    Citation Envoyé par Katleen Erna Voir le message
    1 - TSA : la "menace pour la sécurité nationale"
    La Transportation Security Administration américaine (TSA) a commis l'une des plus belles bourdes de l'année : l'organisation a en effet, accidentellement, publié sur un site Internet public l'intégralité d'un manuel qui expliquait en détail ses procédures sécuritaires au sein d'un aéroport (la fouille des passagers, la recherche d'explosifs, les règles spéciales appliquées pour les membres du gouvernement et de la CIA, les configurations techniques précises des détecteurs de métaux et d'explosifs, etc.).
    La gaffe fut qualifiée de "menace pour la sécurité nationale".
    Ça été fait exprès et ça mérite une puis et enfin
    Il est difficile de retrouver ses erreurs lorsqu'on est persuadé que son code est juste...

    Groupe des développeurs ivoiriens

  12. #12
    Membre éclairé Avatar de JoeChip
    Profil pro
    Inscrit en
    Septembre 2008
    Messages
    536
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Septembre 2008
    Messages : 536
    Points : 803
    Points
    803
    Par défaut
    Le coup du manuel "accidentellement publié", c'est pas forcément une bourde... Je trouve que ça ressemble plutôt à une manoeuvre destinée à améliorer la sécurité. Laisser "fuir" un manuel qui comporte un tas d'infos déjà éventées + quelques infos nouvelles et vérifiables + quelques infos nouvelles et fausses, ça crée des honeypots non ?

    Le disque dur c'est probablement une erreur davantage qu'une faute ; il y a toujours des erreurs, les voleurs sont entraînés à les repérer... Faut voir comment le coup a été fait, on peut éventuellement laisser le bénéfice du doute (pour le moment) aux responsables...

    Pour les cartes de crédit, là ça commence à envoyer du gros, au minimum la direction non technique n'a pas eu la compétence d'engager quelqu'un de compétent pour s'occuper de la sécurité, et en plus n'a aucun moyen de vérifier le boulot... C'est donc peut-être plutot une faute du management. Là encore, bénéfice du doute à l'éventuel technicien informatique ?

    Les mots de passe en clair, ça en revanche, ya aucun doute... Tout technicien informatique responsable de cette situation aurait le rouge au front, même dans 50 ans, à mon avis. Faut vraiment avoir jamais *pensé* à la sécurité pour stocker en clair des mots de passe d'utilisateurs de réseaux sociaux...

    Cela dit, la plus grosse bourde de l'année est probablement encore inconnue, cachée quelque part, soit déjà en train d'agir en silence, soit en train de se préparer à agir, en raison de la loi universelle de la sécurité : "la connerie à laquelle tu penses est déjà en cours, celle à laquelle tu dois penser se prépare"
    Sans danger si utilisé conformément au mode d'emploi.

    (anciennement BenWillard, enfin moins anciennement que ... enfin bon c'est une longue histoire... Un genre de voyage dans le temps...)

  13. #13
    Membre expérimenté Avatar de s4mk1ng
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Juillet 2008
    Messages
    535
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Oise (Picardie)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2008
    Messages : 535
    Points : 1 302
    Points
    1 302
    Par défaut
    Je crois que la plus marquante reste rock in you mais je dois dire que les autres se battent la place...
    Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn

  14. #14
    Membre confirmé Avatar de Gunny
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2007
    Messages
    188
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : Danemark

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Avril 2007
    Messages : 188
    Points : 624
    Points
    624
    Par défaut
    Pour le coup du "accidentellement publié", ça reste plausible à mon avis. Une erreur de droits sur un dossier ou un fichier pendant une mise à jour ou l'exécution d'un script, ça peut arriver. Non pas que ce soit inévitable

  15. #15
    Membre chevronné

    Homme Profil pro
    Développeur .NET
    Inscrit en
    Juillet 2009
    Messages
    966
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : Juillet 2009
    Messages : 966
    Points : 2 078
    Points
    2 078
    Par défaut
    1 - TSA : la "menace pour la sécurité nationale"
    sans doute le plus grave selon moi.
    parce que même si les autres sont d'un très grand niveau. celui la c'est juste la sécurité de personnes qui et en jeux...
    un jour, quelqu'un a dit quelque chose...

  16. #16
    Membre émérite
    Profil pro
    Inscrit en
    Juillet 2006
    Messages
    1 537
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations forums :
    Inscription : Juillet 2006
    Messages : 1 537
    Points : 2 548
    Points
    2 548
    Par défaut
    Citation Envoyé par yoyo88 Voir le message
    sans doute le plus grave selon moi.
    parce que même si les autres sont d'un très grand niveau. celui la c'est juste la sécurité de personnes qui et en jeux...
    En effet, c'est grave en 2009 de croire que la sécurité par l'obscurantisme est une garantie de quelque chose.

    Si c'est infos ont besoin d'être secrètes pour assurer la sécurité, alors c'est que le système était de toute façon mal fichu.

  17. #17
    Membre chevronné

    Homme Profil pro
    Développeur .NET
    Inscrit en
    Juillet 2009
    Messages
    966
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : Juillet 2009
    Messages : 966
    Points : 2 078
    Points
    2 078
    Par défaut
    Citation Envoyé par deadalnix Voir le message
    En effet, c'est grave en 2009 de croire que la sécurité par l'obscurantisme est une garantie de quelque chose.
    c'est pas une garantie de quelque chose, mais les données sur les "détail ses procédures sécuritaires au sein d'un aéroport" sur internet disponible en claire...

    Citation Envoyé par deadalnix Voir le message
    Si c'est infos ont besoin d'être secrètes pour assurer la sécurité, alors c'est que le système était de toute façon mal fichu.
    y'a certaine données qui doivent rester sercrete, tu croit pas?
    sinon tu peut toujours nous données ton numéro de carte bleu ainsi que ton code confidentiel...
    un jour, quelqu'un a dit quelque chose...

  18. #18
    Membre émérite
    Profil pro
    Inscrit en
    Juillet 2006
    Messages
    1 537
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations forums :
    Inscription : Juillet 2006
    Messages : 1 537
    Points : 2 548
    Points
    2 548
    Par défaut
    Citation Envoyé par yoyo88 Voir le message
    y'a certaine données qui doivent rester sercrete, tu croit pas?
    À part la clef, non.

    Le numéro de la carte de crédit est apr exemple la clef du payement.

    Le reste de la procédure est connu, cela ne pose pas de problèmes. C'est le BA B A de la sécurité. Cela s'appelle le principe de Kerckhoffs.

    Si ta politique de sécurité n'est pas conforme à ce principe, alors tu peux en conclure que c'est de la merde en boite.

    Ça ne veux pas dire qu'il faut absolument publier les infos, mais que la publication de ces infos ne doit pas être une menace sur la sécurité de ton système. Donc, si la publication des infos du cas 1 pose un problème de sécurité, c'est que la politique de sécurité n'est pas conforme au principe de Karckhoffs, et que c'est donc de la merde en boite.

    Bref, le problème, c'est bien que la publication de ces infos pose problème, pas la publication de ces infos.

  19. #19
    Membre chevronné

    Homme Profil pro
    Développeur .NET
    Inscrit en
    Juillet 2009
    Messages
    966
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : Juillet 2009
    Messages : 966
    Points : 2 078
    Points
    2 078
    Par défaut
    Le reste de la procédure est connu, cela ne pose pas de problèmes. C'est le BA B A de la sécurité. Cela s'appelle le principe de Kerckhoffs.

    Si ta politique de sécurité n'est pas conforme à ce principe, alors tu peux en conclure que c'est de la merde en boite.
    Je suis d'accord mais la on parle ici des procédure de sécurité d'un aéroport qui ont été mise sur internet, pas d'un système informatique...

    c'est quand même sacrement différent...
    un jour, quelqu'un a dit quelque chose...

  20. #20
    Membre émérite
    Profil pro
    Inscrit en
    Juillet 2006
    Messages
    1 537
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations forums :
    Inscription : Juillet 2006
    Messages : 1 537
    Points : 2 548
    Points
    2 548
    Par défaut
    La sécurité d'un système doit être considérée dans son ensemble. Faire la différence ainsi entre info et autre chose est un non sens.

    Ici, si par exemple on contrôle l'accès à un zone de l'aéroport, connaitre la façon dont se fait ce contrôle ne doit pas permettre de s'y soustraire. C'est exactement la même chose.

Discussions similaires

  1. Réponses: 17
    Dernier message: 13/01/2010, 09h33
  2. determiner les 3 plus grandes valeurs numeriques du for-each
    Par makohsarah dans le forum Struts 1
    Réponses: 1
    Dernier message: 15/06/2008, 17h37
  3. trouver les 10 plus grandes valeurs
    Par audrey2112 dans le forum Macros et VBA Excel
    Réponses: 5
    Dernier message: 16/11/2007, 12h30
  4. isoler les 2 plus grandes valeurs d'une liste
    Par marlene.ln dans le forum Access
    Réponses: 3
    Dernier message: 29/01/2007, 11h22
  5. [Debutante] trouver les 5 plus grandes valeurs
    Par Sarrus dans le forum Langage SQL
    Réponses: 11
    Dernier message: 25/07/2005, 16h39

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo