Discussion :

[Stéphane le calme]

Le site de TF1 victime d'un piratage,
des données de près de deux millions d'abonnés dérobées

Des pirates informatiques, qui revendiquent leur appartenance au groupe Linker Squad, ont profité d’une faille dans l’espace réservé aux abonnements presse de TF1, une vitrine en ligne qui permet d’acquérir des journaux, de s’abonner via le « Accueil service abonnement TF1 » au Point, aux Inrockuptibles, à Time magazine etc., pour dérober des données de 1,9 million de clients.

Damien Bancal, journaliste spécialisé dans des sujets relatifs à la cybersécurité ou au cybercrime pour le compte du quotidien Zataz, dont il est le fondateur, affirme avoir été contacté par des pirates informatiques qui ont signé leurs actes sous ce pseudonyme. « Notre but est de défier les sociétés victimes de nos piratages, qu’ils se rendent compte de leurs erreurs », lui ont-ils fait savoir. L’équipe de TF1 a alors été contactée et sa réaction a été rapide, puisque la faille a été corrigée dans l’heure. La direction technique a confié par la suite que ce service est géré par un tiers, donc, a priori, seule sa responsabilité serait engagée.

capture d'écran des clients de TF1 révélée par Zataz

Pour prouver qu’ils ont réussi à extraire des données de la base de TF1, les pirates ont fait parvenir à Damien des informations sous forme de captures d’écran. « Les bdd sont une mine d’or », lui ont-ils rappelé avant de préciser que les données en leur possession « seront sûrement vendues ». De quelles données s’agit-il ? « Parmi les informations qu’il m’a été possible de consulter, des adresses mails, des mots de passe (non chiffrés). Selon les dires des “visiteurs” des données bancaires, sous forme de RIB, auraient été ponctionnées », a avancé Damien. TF1 a cependant précisé que sur les moyens de paiement, les informations sont cryptées.

Cependant, grâce aux mots de passe subtilisés, qui sont parfois les mêmes que ceux qui sont utilisés pour les comptes mails, les pirates ont affirmé avoir réussi à accéder aux boîtes personnelles de certains des abonnés. « C'est toute l'identité numérique de l'internaute qui se retrouve entre leurs mains », avance Damien à RTL. Selon lui, cela pourrait conduire à des « malversations » voire à des « usurpations d'identité ». Sur le sol français, les pirates risquent jusqu’à 5 ans de prison ferme et 350.000 € d’amende.

Source : zataz

[Mc geek]

TF1 qui stocke les mots de passes en clair ? J'aurais jamais pensé qu'ils seraient capable de cette incompétence.

[Invité]

Bravo pour avoir été rapide à corriger la faille.

Ils est toujours impossible de savoir si tout les sites/services tiers d'un site web font de nos donnée, et si ils sont secure.
Ce genre de news n'est vraiment pas étonnante. Mais il est bien de le rappeler.

@Mc geek: Malheureusement cela arrive souvent, c'est bien triste. Peut de personne sont sensibilisé au risque informatique... Et stocker des mots de passe non chiffrer est quand même un grosse faute de leur partenaire! Qu'avez t-il dans la tête quand il on décidé de ne pas les chiffrer?!!!!!

[curt]

Issu du site de TF1 :

Le groupe TF1 tient néanmoins à rassurer ses internautes : "aucune donnée des internautes inscrits à TF1.fr et gérées par TF1 n'ont été exposées, ni piratées". Seuls sont affectés les abonnés du prestataire de ce service

Comme quoi, la sous-traitance ça a du bon.... ça permet de transférer la responsabilité !!! et TF1 s'en sort sans dommage... même pas honte !

Curt

[Invité]

C'est se que je me suis dit: toujours avoir un fusible qu'on peut faire sauter pour rester indemne

[rawsrc]

Issu du site de TF1 :
Comme quoi, la sous-traitance ça a du bon.... ça permet de transférer la responsabilité !!! et TF1 s'en sort sans dommage... même pas honte !

Curt

C'est se que je me suis dit: toujours avoir un fusible qu'on peut faire sauter pour rester indemne

Quand tu lis la déclaration du DG de TF1, tu sais d'emblée que le prestataire va prendre cher (du moins son assurance professionnelle, enfin j'espère qu'il est bien assuré et à hauteur des données gérées...)

Nous règlerons nos différents avec le partenaire défaillant dans le cadre du secret des affaires. Il va sans dire que TF1 défendra ses intérêts à la hauteur du préjudice subi", a indiqué dans un mail à l'AFP Olivier Abecassis, directeur général de TF1.

[Namica]

Quant aux responsabilités, allez savoir ce qu'il y avait dans le cahier des charges du projet confié au prestataire et les réserves éventuelles du dit prestataire ?
De toute façon, comme maitre d'oeuvre, TF1 endosse toute la responsabilité à propos des dommages causés aux tiers. A lui de se retourner contre le prestataire s'il a failli au cahier des charges. et encore, il y a du, à un moment ou un autre, avoir eu une procédure de réception.

Il ne suffit pas de dire c'est pas notre faute, notre prestataire nous a fourni de la merde, encore faut-il que l'on aie pas demandé de la merde sur base d'une vue bêtement comptable du moindre coût.

Il est prématuré d'établir des responsabilités sans autres informations.

Maintenant, c'est clair que ne pas faire un hash des mdp est une faute et que implémenter un bête sha-256 n'est pas compliqué.
Mais cela implique aussi d'autre problèmes tels que e.a. procédures en cas d'oubli de mdp, etc., ce qui a un coût...

Était-ce dans le cahier des charges ou TF1 a-t-elle voulu en faire l'économie ?
Nous n'en savons rien et le PDG de TF1 probablement pas plus, malgré ses déclarations.

Le prestataire n'aurait pas du jouer dans un tel jeu, amho.

Wait and see...

[Namica]

Issu du site de TF1 :
Comme quoi, la sous-traitfaance ça a du bon.... ça permet de transférer la responsabilité !!! et TF1 s'en sort sans dommage... même pas honte !
Curt

Ben non, pour les tiers lésés, la responsabilité incombe à TF1.
Il appartient à TF1 de s'adresser en justice contre ses sous-traitants s'ils ont failli au travail qu'il leur avait été confié.
Les tiers ne connaissent rien aux sous-traitants de TF1. Ils ont contracté avec TF1 point final.

Si tu fais appel à un entrepreneur pour construire ta maison et que celui-ci sous-traite la toiture, c'est à l'entrepreneur que tu t'adresses si ta toiture est défectueuse.

Il en va de même avec toutes nos données à caractère privé: à qui sont-elles transmises|sous-traitées|analysées|...
Les lois de protections de la vie privées ne sont pas toujours bien respectées jusqu'en bout de chaîne, malgré les déclarations de confidentialité dont se gargarisent la plupart des sites.

[kolodz]

Quand tu lis la déclaration du DG de TF1, tu sais d'emblée que le prestataire va prendre cher (du moins son assurance professionnelle, enfin j'espère qu'il est bien assuré et à hauteur des données gérées...)

Nous règlerons nos différents avec le partenaire défaillant dans le cadre du secret des affaires. Il va sans dire que TF1 défendra ses intérêts à la hauteur du préjudice subi", a indiqué dans un mail à l'AFP Olivier Abecassis, directeur général de TF1.

Et en plus, TF1 va se faire de la tune sur le prestataire <<. A ce que je sache ce n'est pas leur adresse (physique et email) ou leurs informations bancaires qui ont été copié.
C'est théoriquement de leur responsabilité de s'assurer de la sécurité de ces informations, ce n'est pas au tiers que les abonnées ont fournit leur informations bancaire... D'ailleurs, pourquoi ce tiers dispose de ces informations ?

Cordialement,
Patrick Kolodziejczyk.

[MintWater]

Stocker les mot de passe en clair (ou avec un chiffrage/hash bidon) ça va au delà de l'incompétence, comme indiqué dans l'article beaucoup de personne réutilisent le même mot de passe pour plusieurs services (et la même adresse email), ce qui fait que le moins sécurisé plombe tous les autres. Malheureusement, il est encore trop fréquent de trouver ce genre de fonctionnement, où dans le projet, la sécurité est recalée en priorité minimale (donc à coût immédiat minimal), parce que de toute façon le piratage ça n'arrive qu'aux autres. C'est comme construire un immeuble en se disant que la sécurité incendie, les issues de secours on s'en fout parce qu’il n'y a pas de raison que le bâtiment crame un jour ...
Mais c'est vrai qu'en ces temps de criiiise c'est le coût de prestataire à court terme qui est le plus important, et il ne faut pas se leurrer, quand on paye des cacahuètes, on attrape des singes

[Namica]

En outre, ce qui est révélé dans la source "Zataz" et dans la suite http://www.zataz.com/piratage-tf1-co...nnees-clients/), c'est que:

• une autre faille a été corrigée à cette occasion
• des données sont conservées par TF1 au dela d'une durée raisonnable

Source : http://www.zataz.com/piratage-tf1-co...nnees-clients/
« ...
TF1 a référencé sur son portail un partenaire commercial qui propose des abonnements presse à ses clients. Le site proposant ces abonnements, bien que référencé sous l’URL de tf1.fr, est placé sous le contrôle exclusif de ce partenaire et ce indépendamment de la gestion du site tf1.fr par les équipes de TF1.

Hier, ce partenaire a été victime d’une attaque informatique. Il a pris en charge l’incident dès sa détection en liaison avec les équipes de eTF1, qui ont supprimé les accès à ce site. A aucun moment, les données des internautes inscrits à TF1.fr et gérées par TF1 n’ont été exposées, ni piratées. »« TF1 a référencé sur son portail un partenaire commercial qui propose des abonnements presse à ses clients. Le site proposant ces abonnements, bien que référencé sous l’URL de tf1.fr, est placé sous le contrôle exclusif de ce partenaire et ce indépendamment de la gestion du site tf1.fr par les équipes de TF1.
...
Plus inquiétant encore, nous avons dû alerter ce samedi matin la direction technique de TF1 pour une seconde faille, ouvrant elle aussi sur une base de données. D’après les informations de zataz.com, des données de cartes bancaires [heureusement, non complètes, ndr], identités, IP, numéro de transaction, dates. A noter que les informations que nous avons pu lire dataient de 2008. Soit un temps de stockage qui nous parait très long, 7 ans ! Espérons que les pirates n’ont pas atteint les données du « partenaire » de 2014. Pourquoi cette crainte ? Les pirates, avant de repartir ont précisé qu’il y avait « 4 061 032 logs contenant des cartes » dans les données qu’ils étaient en train de télécharger. TF1 a préféré faire fermer, ce samedi, l’accès à cette boutique. Pour les « techniciens », les deux failles étaient les suivantes [Je peux les montrer, elles ont été corrigées, ndr] : http://abonnement-presse.tf1.fr/maga...sp?idtitre=%27 et http://abonnement-presse.tf1.fr/maga...dTitre=1688%27
...
Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d’information) et adaptées à la nature des données et aux risques présentés par le traitement. Le non-respect de l’obligation de sécurité est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende (art. 226-17 du code pénal) ; Les données personnelles ont une date de péremption. Garder des fichiers plus d’un an n’est pas pensable. Pour rappel, la CNIL indique que le responsable d’un fichier fixe une durée de conservation raisonnable en fonction de l’objectif du fichier. Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d’emprisonnement et de 300 000 € d’amende. »

Et encore:

A noter que les internautes allant sur le site de TF1 ne sont pas censés savoir qu’ils sont en fait chez un partenaire extérieur, ViaPresse. « Faire appel à la sous-traitance n’enlève en rien la responsabilité de s’assurer des – process de sécu – de celle-ci et des risques » souligne Frédéric Gouth, consultant en sécurité informatique, membre du CLUSIR Aquitaine. Il existe même un ISO (6.2.1) à ce sujet baptisé « Identification des risques liés à des parties externes« . Sans parler de la loi informatique et liberté (CNIL, ndr) et ses articles 34 et 35. Étonnant, les deux iSQL ont permis l’accès à la base de données (BDD) de Viapresse, via TF1.fr, BDD qui comportait donc des données (RIB) appartenant à des prestataires Viapresse ! Voilà des « liens » particulièrement malencontreux pour la sécurité et la vie privée des clients

TFi n'aura pas si facile que cela à se dédouaner de toute responsabilité...
Et, à propos, quelle est la sécurité de leurs DB et prestataires recensant les millions de SMS|TEXTO concernant la participation à des jeux ?
Probablement pas mieux.
TF1 aurait intérêt à commander au plus vite un audit impartial de la séc
urité accordée à ses utilisateurs et à la publier.

[Saverok]

La totale responsabilité du presta n'est pas forcément un fait
Comme dit par d'autres, encore faut il savoir ce qu'il y avait dans le cahier de charges
De même, est-ce que TF1 était au courant du niveau de sécu ?
Est-ce que le presta a fait des propositions de projet afin de relever ce niveau ?
Les clients confient leurs données à TF1, c'est donc à TF1 d'en être les garant
Si le niveau de sécu est aussi faible, c'est de la faute de TF1 de ne pas avoir su sélectionner le bon presta et de ne pas avoir su le piloter.

[Shuty]

Parmi les informations qu’il m’a été possible de consulter, des adresses mails, des mots de passe (non chiffrés).

C'est tout bonnement croyable de lire ca quand même ! Surtout de nos jours...

[kolodz]

Parmi les informations qu’il m’a été possible de consulter, des adresses mails, des mots de passe (non chiffrés).

C'est tout bonnement croyable de lire ca quand même ! Surtout de nos jours...

Oui, mais ça permet de renvoyer le mot de passe de madame Michu quand elle l'oublie celui-ci...


EDIT : You feed the troll !!!

[Luckyluke34]

Oui, mais ça permet de renvoyer le mot de passe de madame Michu quand elle l'oublie celui-ci...

La pratique recommandée (et utilisée par tous les sites sérieux) dans ce cas-là est d'envoyer un lien de réinitialisation du mot de passe avec éventuellement une question personnelle obligatoire, pas de faire transiter le password en clair dans un mail...

[Vyrob]

Autant ne pas chiffrer les mots de passe c'est du grand n'importe quoi, c'est pas pour les ressources que ça prend à implémenter. Par contre ce que je ne cautionne pas c'est la mentalité des auteurs de ces attaques.

Faire remarquer de manière un peu brutale une faille de sécurité... soit, je veux encore bien comprendre. Mais en quoi les utilisateurs de ces services sont-ils responsables ?! Pourquoi les pirates les pénalisent-ils en voulant faire une utilisation frauduleuse de leurs informations ? A croire que les gens n'ont plus aucune conscience de nos jours...

[Mohamed_beng]

Ben non, pour les tiers lésés, la responsabilité incombe à TF1.
Il appartient à TF1 de s'adresser en justice contre ses sous-traitants s'ils ont failli au travail qu'il leur avait été confié.
Les tiers ne connaissent rien aux sous-traitants de TF1. Ils ont contracté avec TF1 point final.

Si tu fais appel à un entrepreneur pour construire ta maison et que celui-ci sous-traite la toiture, c'est à l'entrepreneur que tu t'adresses si ta toiture est défectueuse.

Il en va de même avec toutes nos données à caractère privé: à qui sont-elles transmises|sous-traitées|analysées|...
Les lois de protections de la vie privées ne sont pas toujours bien respectées jusqu'en bout de chaîne, malgré les déclarations de confidentialité dont se gargarisent la plupart des sites.

Bonsoir,
Une précision d'ordre général, car votre affirmation doit être nuancée.
En Belgique (si j'en crois le drapeau dans votre profil) peut-être, mais les choses sont moins évidentes en France (même si le principe [pour le moment] est le suivant : effet relatif des conventions à l'égard des tiers). Pour preuve cette espèce jugée par l'Assemblée plénière de la Cour de cassation le 06 octobre 2006. (le lien pointe vers le site de la Cour de cassation)
Je vous donne l'attendu de principe :

Mais attendu que le tiers à un contrat peut invoquer, sur le fondement de la responsabilité délictuelle, un manquement contractuel dès lors que ce manquement lui a causé un dommage ; qu’ayant relevé, par motifs propres et adoptés, que les accès à l’immeuble loué n’étaient pas entretenus, que le portail d’entrée était condamné, que le monte-charge ne fonctionnait pas et qu’il en résultait une impossibilité d’utiliser normalement les locaux loués, la cour d’appel, qui a ainsi caractérisé le dommage causé par les manquements des bailleurs au locataire-gérant du fonds de commerce exploité dans les locaux loués, a légalement justifié sa décision ;

Extrait tiré du site de la Cour de cassation.

Edit : orthographe.

[marsupial]

Autant ne pas chiffrer les mots de passe c'est du grand n'importe quoi, c'est pas pour les ressources que ça prend à implémenter. Par contre ce que je ne cautionne pas c'est la mentalité des auteurs de ces attaques.

Faire remarquer de manière un peu brutale une faille de sécurité... soit, je veux encore bien comprendre. Mais en quoi les utilisateurs de ces services sont-ils responsables ?! Pourquoi les pirates les pénalisent-ils en voulant faire une utilisation frauduleuse de leurs informations ? A croire que les gens n'ont plus aucune conscience de nos jours...

Les hackers publient afin de mettre du poids dans leur demande : sécuriser le service. Peut-être ont-ils déjà fait parvenir cette requête à TF1 qui n'a pas voulu en tenir compte ? Souvent il est insuffisant de dire vous avez une faille. Il est parfois nécessaire de prouver par une démonstration de force.

Pour l'utilisation frauduleuse, je reste convaincu qu'il y en aura, mais, de n'importe quelle manière, les grands comptes devraient prendre conscience grâce à ce hack de la nécessité de sécuriser. Rapidement.

[Namica]

Bonsoir,
Une précision d'ordre général, car votre affirmation doit être nuancée.
En Belgique (si j'en crois le drapeau dans votre profil) peut-être, mais les choses sont moins évidentes en France (même si le principe [pour le moment] est le suivant : effet relatif des conventions à l'égard des tiers). Pour preuve cette espèce jugée par l'Assemblée plénière de la Cour de cassation le 06 octobre 2006. (le lien pointe vers le site de la Cour de cassation)
Je vous donne l'attendu de principe :


Extrait tiré du site de la Cour de cassation.

Edit : orthographe.

Et la décision fut :

PAR CES MOTIFS :

REJETTE le pourvoi ;

[Mohamed_beng]

Et la décision fut :

Ce qui signifie dans le cas présent que la demande tendant à faire condamner le contractant dont l'exécution fautive [ce serait plutôt une inexécution en fait/droit*] avait lésé un tiers, accueillie favorablement par les juge des fonds, est fondée en droit.

PREMIER MOYEN DE CASSATION
Il est fait grief à l’arrêt attaqué d’AVOIR déclaré recevable la demande de la Société Boot Shop, locataire-gérant, à l’encontre des consorts X..., bailleurs, sur le fondement de l’article 1382 du code civil et d’AVOIR condamné ceux-ci au paiement d’une provision de 25 000 € au profit des Sociétés Myr’Ho et Boot Shop à valoir sur leur préjudice consistant dans les conséquences d’une impossibilité d’exploiter normalement les locaux loués ;

Je vous le concède, la langue juridique est aussi absconse que le C++.

* Edit.