Virus

ZATAZ Protocole d'alerte

Publié le 15-07-2012 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal

Pub : Tous les antivirus gratuits pour protéger et nettoyer votre ordinateur

Note des lecteurs: 3.0/5

ZATAZ.COM, des "enquêtes exemplaires et une action d'alerte irréprochable"
17ème Chambre correctionnel du TGI de Paris (07 juillet 2009)

Comment ZATAZ.COM peut vous alerter d´un problème de sécurité informatique découvert sur votre site web, votre serveur, ... ? (mise à jour le 15/07/2012)

Depuis 1996, date de création de la version Internet de ZATAZ, nous proposons de l'actualité liée à l'informatique décalée. Nous traitons de sécurité informatique, hackers, pirates, virus, vie privée sur la toile pour le grand public. Le fondateur du site est journaliste professionnel, pas un informaticien. Ce qui ne l'empêche pas de savoir de quoi il parle ou de faire appel à des professionnels pur jus. Depuis la naissance de ZATAZ.COM, près de 150.000 actualités composent le webzine (Brèves, articles, interviews, reportages, ...). Des supports numériques comme zatazweb.tv et datasecuritybreach.fr viennent renforcer les actions d'alertes mises en place par Damien Bancal, fondateur de ZATAZ.

ZATAZ.COM a pu aider, via le protocole d'alerte, près de 15.000 sociétés, privées et publiques, associations, ... Une aide visant à avertir d'une faille, d'une vulnérabilité, d'une fuite de données (Adresses eMails, bancaires, dossiers privés, ...).

Nous avons baptisé cette spécificité de ZATAZ.COM, les HaideD. De la prévention et alertes afin d'avertir d'un potentiel et gênant piratage informatique. [Quelques exemples]. Les remerciements sont TRES rares, mais ceux existants sont marquants, à l'image des cinq récompenses décernées à ZATAZ.COM par Microsoft, depuis 2009.

Les alertes sont tirées d'informations envoyées par des lecteurs [Sources préservées et anonymes*] ou trouvées par la rédaction de ZATAZ.COM.

Nous ne traitons que de problème de sécurité informatique mis en avant par un lien malheureux, un accès donné par un moteur de recherche, ou le site faillible lui même. JAMAIS de "Pen test" ou autres tentatives de piratages. Nous connaissons la loi, la respectons et mettons un point d'honneur à faire respecter les règles.

ZATAZ.COM ne relate jamais une alerte sans que le site faillible ne soit corrigé, sauf dans le cas ou l'entreprise n'a pas réagi à nos deux alertes (voir ci-dessous, ndr). Dans ce cas, notre article est diffusé sans aucune possibilité, pour les lecteurs, de retrouver la faille, la vulnérabilité en question.

ZATAZ.COM n'est pas une entreprise, une société d'audit ou commercialisant des outils de sécurité informatique. Nos alertes sont réalisées gratuitement, bénévolement. Nous ne refusons pas les dons (via Paypal). Cet argent nous permet de rembourser les frais que peuvent engendrer ses alertes. (téléphone, huissier, déplacement, ...). En 2012, depuis le 1e janvier, nous avons perçu 475 € !

Plus de 15.000 entreprises/associations ont été aidées en 16 ans. ZATAZ.COM a vécu un seul problème judiciaire. Une entreprise alertée, qui nous avait remercié, changait son fusil d'épaule et nous attaquait en justice pour diffamation. Affaire que nous avons gagné !

A noter que nous éditons, chaque année, un rapport lié au Protocole d'Alerte de ZATAZ.COM baptisé "HaideD Report" : HaideD Report 2010 [lire] ; HaideD Report 2011 [lire]. Il permet de regrouper une année d'alerte sous forme de chiffres et tableaux.

L'obligation de notification
L'article 38 de l'ordonnance du 24 août 2011 intègre un article 34 bis dans la Loi n°78-17 du 6 janvier 1978 qui institut une obligation de notification en cas de violations de données personnelles (Data Security Breach). L'obligation de notification concerne les données traitées dans le cadre de la « fourniture de services de communications électroniques ouverts au public», ce incluant également les fournisseurs « prenant en charge les dispositifs de collecte de donnée et d'identification ». [En savoir plus].

>> Notre procédure d'alerte fonctionne ainsi :

1 - ZATAZ.COM est prévenu par un lecteur ; ou la rédaction découvre un problème. Pour nous contacter, utiliser UNIQUEMENT . N'hésitez pas à utiliser PGP (GPG) pour nous contacter de maniére sécurisée ! Voici ma clé publique.

2 - Le fondateur de ZATAZ.COM (Damien Bancal et uniquement lui) vérifie l'information. Sa véracité; Son niveau de dangerosité; ... Aucune solliciation commerciale (audit, vente de produit...) n'est proposée. Seul Damien Bancal, prend contact avec les responsables des serveurs, visés par une alerte.

3 - Captures écrans (photos) et un film (capture vidéo) sont réalisés pour preuve. Des sauvegardes de preuves peuvent être effectuées à partir du cache de Google ou d'autres moteurs de recherche. Nous pouvons faire appel à Maître Dekerle, huissier de justice à Pont-à-Marcq, pour des constatations, véritable photographie juridique. Les constatations n'ont aux termes des dispositions légales qu'une valeur de simples renseignements mais les conditions dans lesquelles le constat a été établi ont un véritable caractère authentique via l'heure, le jour, la prise d'information sur la constitution des preuves.

4 - Un courriel est envoyé à l'administrateur du site via l'adresse publique qui sera trouvée sur l'espace numérique en question. Nous nous mettons dans la peau d'un internaute qui souhaite joindre un responsable et utilisons, donc, les outils qui lui sont proposés. Une alerte sur le compte Twitter @zataz officiel sera diffusée en parallèle du courriel. Elle est sous cette forme : "Protocole d'alerte @zataz n'AAA à destination du/de BBB".

AAA : le numéro de l'alerte. Ce numéro est diffusé aussi dans notre page HaideD.

BBB : le nom de l'entreprise; du CERT concerné; de l'ANSSI.

Les alertes ne proposent JAMAIS le type de faille, son exploitation. Ces données sont transmises uniquement par téléphone aux responsables de l'entreprise/Informatique.

5 - Au bout de 7 jours sans réponse, Damien Bancal et uniquement lui, via une adresse életronique identifiable (via sa signature numérique et sa clé PGP publique), utilisera ses ressources de journaliste pour joindre le service presse et le responsable du site touché par la fuite. Ce courriel est baptisé "Alerte ZATAZ - N'XXXX - Site alerté -".

6 - Une alerte sera lancée au bout de 8 jours via le compte Twitter officiel de @ZATAZ.

7 - L'HaideD ciblé est automatiquement couplé au Député Sébastien Huyghes, à la CNIL, ainsi qu'aux différents CERT.

8 - Pour les sites étatiques (Ministères, administration, ...) nous contactons le CERT A et l'ANSSI.

7 - Aucune réponse du site contacté au bout de 9 jours ? Nous écrivons un article sur la fuite en question dans la condition ou l'écrit ne mettra pas en danger le site touché par la fuite et surtout les personnes contenues dans cette fuite. Nous considérons qu'attendre trop longtemps sans alerter l'opinion publique met en danger les personnes contenues dans les données non sécurisés. Les pirates sont de plus en plus rapide. ZATAZ.COM souhaite leur couper l'herbe sous le pied le plus rapidement possible.

8 - La correction est effectuée. La rédaction décidera si, oui ou non, un article est utile pour les lecteurs. En gros, si l'entreprise a laissé des informations sensibles (données bancaires, ...) appartenant à ses clients, il est de notre devoir d'alerter les clients. Les entreprises ont UNE OBLIGATION, en 2012, d'alerter leurs membres/clients/abonnés en cas de fuite de données.

10 - ZATAZ.COM ne réclame AUCUNE contre-partie (argent, cadeau, ...). Il est cependant possible (et agréable) de nous faire un don [Voir l'espace Paypal dédié]. L'argent des dons nous permet de payer les frais de fonctionnement de notre protocole d'alerte (téléphone, huissier, ...).

Alerte sérieuse

Voici un courriel reçu de la Fédération Française Handisport. Il exprime, clairement, le sérieux de nos alertes :

"Monsieur,

Nous avons été informés que vous aviez constaté des défaillances au niveau de notre site internet, avec des accès à certaines bases SQL notamment. Vous avez eu la gentillesse d’alerter certains membres de la fédération, toutefois ces derniers, peu spécialistes en informatique, n’ont pas mesuré l’importance de votre avertissement initial, je vous prie de nous en excuser.

Notre responsable du développement informatique et notre prestataire en charge de la maintenance de notre parc sont désormais informés pour procéder au plus vite aux corrections nécessaires.

Je tenais à vous remercier pour votre vigilance, m’excuser à nouveau du manque de réactivité à votre première alerte, nos moyens restant limités avec une petite équipe !

A l’approche des Jeux Olympiques et pour le développement du sport nous avons besoin d’outils fiables et conformes, et vous y avez ainsi contribué. Le nécessaire est en cours dans les meilleurs délais.

Avec mes remerciements,

Cordialement"

*Usage, identification et vérification des sources
La crédibilité de la presse dépend de sa transparence. Le recours à une source anonyme pour révéler une information ne doit donc être utilisé qu'en une situation tout à fait exceptionnelle, lorsqu'il n'est pas possible par aucun autre moyen de diffuser une information jugée fiable et essentielle. Choisir d'accorder l'anonymat à une source ne se fait pas sans régle. ZATAZ.COM doit s'assurer de la fiabilité de cette source. Vérifier l'authenticité de l'information obtenue.

ZATAZ.COM a, depuis sa création, comme engagement fondamental de livrer une information sûre et vérifiée, mais dans la plus grande transparence. L'anonymat à une source ne se fait pas sur une base automatique. On ne devrait pas non plus l'offrir comme monnaie d'échange à une information qui ne mérite pas un tel traitement. Un journaliste est, en cette ère d'intoxication, de plus en plus confronté à un barrage d'informations livrées par des experts dont l'intérêt justement dépend du secret. Il faut donc se prémunir contre cette forme de manipulation en discernant avec rigueur les impératifs pour lesquels l'anonymat peut être accordé.

Lorsque l'information livrée par une source est jugée d'intérêt public, il arrive que la protection de l'anonymat de la source réponde à un impératif évident. Si la source refuse de se confier publiquement pour éviter des menaces réelles ou appréhendées à sa sécurité physique, des menaces de représailles, la menace de poursuites légales ou la menace de perdre son emploi. Dans ces cas, ZATAZ.COM lui accordera l'anonymat.

Derniers contenus

L'espace d'authentification de Numéricâble dangereux

23-05-2013 à 14:53 - 0 commentaire(s)

Client de Numéricâble, prudence. L'espace d'authentification peut être piégé par un pirate informatique.

Fuite de données : la justice accuse les admins

23-05-2013 à 14:26 - 0 commentaire(s)

Si un administrateur d'un système informatique ne protège pas ses données, le "découvreur" ne risque plus d'être poursuivi pour piratage.

Skimmeur dans le Tarn

23-05-2013 à 12:30 - 0 commentaire(s)

Plusieurs dizaines de comptes bancaires piratés dans le Tarn. Un skimmeur a encore frappé.

Double authentification Twitter... ou pas

23-05-2013 à 09:39 - 0 commentaire(s)

Twitter annonce une sécurité renforcée via une double authentification. Et les autres failles ?

Danger via MySpace et DailyMotion

21-05-2013 à 09:47 - 0 commentaire(s)

Potentialités malveillantes à partir des sites communautaires MySpace et DailyMotion.

Un espace web Nestlé dangereux

21-05-2013 à 09:37 - 0 commentaire(s)

Un espace Nestlé, dédié aux bébés, propose des potentialités malveillantes aux pirates

Le site de George W. Bush dangereux

21-05-2013 à 08:28 - 0 commentaire(s)

Une faille sur le site Internet de l'ancien président américain, George W. Bush, permet de piéger les internautes.

Cyber attaque à coups de PDF malveillants

21-05-2013 à 08:19 - 0 commentaire(s)

Une cyber-attaque principalement orientée vers le Pakistan à travers de faux documents PDF attachés.

Vos réactions ( 2 )

Ecrit par le 22.08.2012 à 14h26

Inscrit le 24-05-2013

Bonjour,

Finalement combien d'euros de dons ?

Dans l'article "Recompense MSRC pour ZATAZ", 400 euros :
<< En 2011, nous avons publié notre son second rapport ZATAZ Haided II (Le premier est ici, NDLR). Un rapport qui reprend une année de protocole d'alerte @zataz. Une année riche, très riche, avec près de 2.000 entreprises aidées bénévolement (198 mercis, 400 euros de dons, 0 réponse de la CNIL, 3 menaces) et près d'un milliard de données retrouvées par ZATAZ.COM appartenant à des Français. >>

Dans celui-ci, 350 euros :

<< ZATAZ.COM n'est pas une entreprise, une société d'audit ou commercialisant des outils de sécurité informatique. Nos alertes sont réalisées gratuitement, bénévolement. Nous ne refusons pas les dons (via Paypal). Cet argent nous permet de rembourser les frais que peuvent engendrer ses alertes. (téléphone, huissier, déplacement, ...). En 2011, nous avons perçu 350€ ! >>

Pourquoi cette imprécision ?

Ecrit par ZATAZ le 22.08.2012 à 15h29

ZATAZ Admin

Inscrit le 07-05-2005

Bonjour,
Bien vue ! Tout simplement parce que les articles n'ont pas été mis à jour. Nous sommes maintenant passé à 475€.

Merci

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.

Rechercher dans les Alertes

Mots clés
	sur ZATAZ sur le web

La reference des emissions TV dediees a la cybersecurite

Data Security Breach - Securite pour entreprise, pme, pmi

Fausse pub, fausse mise à jour Flash

Syndication RSS

ZATAZ mobile et PDA

PDA
Imode

A PROPOS CONTACT ZATAZWeb.tv
www.antivirus-enligne.com www.antispyware-gratuits.com www.firewall-gratuit.com
datasecuritybreach.fr www.antispam-gratuits.com www.antiphishing-gratuit.com www.virus-alerte.com

Tout usage des informations diffusées par ZATAZ.COM est soumi à autorisation préalable et express. La violation de ces dispositions impératives soumet le contrevenant,
et toutes personnes responsables, aux peines pénales et civiles prévues par la loi française.

Copyright ZATAZ 1997 - 2013