4e édition de l Université des Correspondants Informatique et Libertés. Damien Bancal Journaliste. Fondateur du site Internet ZATAZ.

Transcription

1 4e édition de l Université des Correspondants Informatique et Libertés Damien Bancal Journaliste Fondateur du site Internet ZATAZ.COM

2 ZATAZ en quelques mots ZATAZ.COM, un magazine électronique lié aux problématiques du crime informatique. Créé à Lille en 1996, le site propose près de news, reportages, interviews, ainsi qu'un musée de sites piratés, alertes de sécurité,... ZATAZ.COM signale régulièrement des faits de piratage informatique et des sites Web qui présentent un niveau de sécurité insuffisant (avec pour éventuelle conséquence l accès à des données à caractère personnel). Depuis 1996, plus de entreprises/associations/entités étatiques ont été alertées et aidées bénévolement via le protocole d'alerte ZATAZ.COM. ZATAZ est tiré du palindrome TAZ, pour Tempory Anonymous Zone. Clin d'œil à l'œuvre de l'écrivain américain Hakim Bey(1), créateur de la TAZ, la Zone Autonome Temporaire. Espace virtuel qui occupe provisoirement un territoire, dans l'espace, le temps ou l'imaginaire, et se dissout dès lors qu'il est répertorié. (1)

3 Protocole d'alerte, kesako? La mission du protocole d'alerte de ZATAZ.COM est d'informer, le plus rapidement possible, une société, une association, un propriétaire de site Internet, une entité étatique,... de la découverte d'une fuite de données, d'un accès offert, involontairement, à de potentielles personnes malveillantes. Les alertes ne sont pas proposées à la suite d'audits sauvages (illégal) ou d'un piratage de ZATAZ.COM. Elles sont toutes tirées de source devenues ouvertes à la suite d'une erreur interne à la société, association,... victimes. Le collecte : Trois sources possibles : A - Le surf de la rédaction B - Les lecteurs C - Les "honey pot" (Pots de miel) ZATAZ A : Surf classique Les recherches du surfeur classique via les moteurs de recherche connues et moins connues. Les moteurs de recherche référencent, aujourd'hui, des milliards d'informations, dont des millions qui ne devraient pas l'être. Des mots clés comme "Contrat" ; "Facture" ; "Securite Sociale" sont souvent des auxiliaires de découvertes de fuites d'informations non maitrisées. B : Lecteurs Avec près de lecteurs uniques par jour, ZATAZ.COM a autant de sources d'informations potentielles. Au 1e fevrier 2010, ZATAZ.COM était classé par la société américaine Netcraft à la 1.378e place mondiale des sites les plus visités au monde(1). C : Les "honey pot" (Pots de miel) ZATAZ Baptisé "Honey Net", l'outil permet de suivre, en temps réel, les méthodes d'attaques des pirates. Les Honey pots ZATAZ sont attaqués, l'outil interne Honey Net réceptionne les informations des pots de miel ZATAZ : méthodes, les sites employés par les pirates,... Honey Net permet de mettre en place des statistiques : Par pays, par machines, par méthodes d'attaques,... Honey Net ZATAZ récupère aussi le code source de l'outil pirate (web) exploité. Une version publique(2) permet de connaître les grandes lignes des informations collectées par les Honey pot ZATAZ. (1) (2)

4

5 Les attaques à l'encontre des Honey Pot ZATAZ sont classifiées par genre, pays,...

6 Sites exploités par des pirates et repérés par les Honey Pot ZATAZ. Exemple de site piégé (code source Backdoor) et exploité par des pirates.

7 Suivi de l'évolution de l'attaque (durée, méthode, serveurs utilisés,...)

8 Description du protocole d alerte Le protocole d'alerte a été mis en place avec la recrudescence des courriers d'internautes envoyés à ZATAZ.COM. Lecteurs se retrouvant nez-à-nez sur le web avec des données sensibles. Mission du protocole d'alerte, prévenir le plus rapidement possible les entreprises, associations, entités étatiques visées par une fuite d'informations sur le web et, une fois la vulnérabilité corrigée, prévenir le cas échéant le public. Une page dédiée «protocole» est proposée sur ZATAZ.COM. Le lien est diffusé dans chaque courrier électronique d'alerte. Nous y reviendrons plus tard. La procédure d'alerte fonctionne ainsi : 1 - ZATAZ.COM est prévenu par un lecteur; la rédaction découvre un problème. 2 - Le fondateur de ZATAZ.COM (Damien Bancal et uniquement lui) vérifie l'information. Sa véracité; Son niveau de dangerosité; Captures écrans (photos) et un film (capture vidéo) sont réalisés pour preuve. Des sauvegardes de preuves peuvent être effectuées à partir du cache de Google ou d'autres moteurs de recherche. Nous pouvons faire appel à Maître Dekerle, huissier de justice, pour des constatations, véritable photographie juridique, de fuites considérées comme «sensibles». Les constatations n'ont aux termes des dispositions légales qu'une valeur de simples renseignements mais les conditions dans lesquelles le constat a été établi ont un véritable caractère authentique via l'heure, le jour, la prise d'information sur la constitution des preuves. (1)

9 4 Ouverture d'une fiche HaideD(1) sur ZATAZ.COM. Cette fiche HaideD indique : - Le numéro de l'alerte - La source de l'alerte (Important pour des internautes qui ont souhaité rester anonyme) - Le pays - L'étape du protocole d'alerte (Contact , téléphonique, correction effectuées,...) - Mise à jour - Le risque de la vulnérabilité. Son niveau de dangerosité, - 4 niveaux : * sans grand risque direct ** Risque d'accès code source du site *** Accès données nominatifs **** Accès données sensibles (CB, SS,...) - Catégorie : Secteur d'activité Il n'y a jamais le nom de l'entreprise, la vulnérabilité, le moyen d'y accéder,... (1)

10 Chaque numéro de la page HaideD(1) correspond à un dossier alerte, sur un disque dur chiffré, non connecté à Internet. (1)

11 5 Un courrier classique: via un formulaire ou adresse fournis sur le site web touché par la fuite. Demande de prise de contact. En 2009, sur 583 courriels, 9 réponses. 6 Courrier VIP : recherche de l'adresse électronique du responsable, directeur, service presse. En 2009, sur 574 courriels VIP, 543 réponses. Le courrier d'alerte est automatiquement couplé au Député Sébastien Huyghes (Commissaire à la CNIL), ainsi qu'au CERT IST dans le cas d'entreprises importantes (196 cas en 2009). Dans les cas les plus graves (Données bancaires,...) nous alertons aussi l'équipe du Commandant Georges de SOUQUAL, Chef de l'opérationnel à l'oclctic, l'office central de lutte contre la criminalité liée aux technologies de lʼinformation et de la communication. Pour les sites étatiques (Ministères, administration,...) nous contactons notre correspondant au Centre d'expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques (CERT A). 7 - Aucune réponse du site contacté? Nous téléphonons, au bout de 5 jours, pour tenter de joindre un responsable de la société. 8 - La correction est effectuée. Il est décidé si, oui ou non, un article est utile pour les lecteurs. En gros, si l'entreprise a laissé des informations sensibles (données bancaires,...) appartenant à ses clients, il est du devoir d'un journaliste d'en alerter le public. 9 - Pas de correction, de réponse? Nous écrirons un article (d'alerte) après 21 jours de silence. Il ne contient AUCUN élément permettant de remonter la vulnérabilité Dans tous les cas, ZATAZ.COM ne réclame AUCUNE contre-partie (argent, cadeau,...). Il est cependant possible de nous faire un don. Argent qui nous permet de payer les frais de fonctionnement de notre protocole d'alerte (téléphone, huissier,...).

12 Exemple de courrier d'alerte : Ce courrier comprend : Qui je suis ; Pourquoi j'écris ; un lien vers le protocole d'alerte ZATAZ ; Le numéro de l'alerte (numéro que l'on retrouve dans le HaideD) ; L'explication de la faille (fuite,...) ; le ou les preuves ;...

13 Evolution? 1 - Durant le mois de janvier 2010 A Les alertes 43 Alertes / 7 réponses (5) / 4 réponses (6) 13 sites corrigés. 08 fuites de données (identités, adresses,...) 05 diffusions de codes malveillants par le biais des sites infiltrés par des pirates. 09 mots de passe en accès libre. 07 accès à l'administration sans restrictions, contrôles, codes sources. 09 divers (Backdoor,...) 12 cas invérifiables (Impossibilité légale de vérifiée : Loi Godfrain,...) 12 Injections SQL 2 Honey Net ZATAZ Le Honey Net ZATAZ a détecté plus de sites web (entre le 1e et le 31 janvier 2010) exploités par des pirates (Backdoor,...) : 50,553 (USA) (Corée du sud) (Allemagne) 7976 (Russie) 6806 (France) 3396 (Uk)...