402 protocoles d’alertes ZATAZ en 72 heures

Posted On 10 Sep 2015

Le protocole d’alerte de ZATAZ vient de fêter ses 18 ans en alertant, en 72 heures, pas moins de 402 entreprises, associations, entités étatiques et particuliers de failles et fuites les concernant.

Depuis 18 ans, le protocole d’alerte de ZATAZ s’est donné pour mission d’alerter les entreprises, les associations, les entités étatiques et les particuliers de failles et fuites pouvant les concerner. En ce début septembre, la rentrée est chargée, très chargée. Pas moins de 402 alertes ont été communiquées en 72 heures (sur 4 jours, je dors quand même un peu, NDR).

Sur ces 402 alertes, qui viennent rejoindre les 51112 alertes (au moment de l’écriture de ce papier, ndr) depuis le lancement de cette idée solidaire et bénévole, 93 ont déjà été prises en compte par les intéressés.

Exemple d’attaque XSS, la récupération du cookie de connexion.

En ce qui concerne les autres, espérons que le courriel ne finira pas à la poubelle en raison d’une éducation numérique nulle des récepteurs. Dans le top 3 de cette vague de rentrée, en tête des problèmes, les XSS. Les Cross-Sites Scripting pullulent et permettent de nombreuses malveillances à l’encontre des clients et autres usagers de services pouvant être sensibles. Par exemple, le robot dédié aux questions des particuliers sur le site EDF. La dame, avant la correction, permettait une attaque XSS. Même sanction pour le site de la fondation de Nicolas Hulot ou encore des sites du groupe Bull/ATOS (alertés plusieurs fois, sans jamais recevoir la moindre réponse, ndr) ou encore des Nations Unies.

En seconde position, les fuites de bases de données (qu’elles soient sous la forme d’un backup oublié sur un site Internet, une injection SQL exploitée par des malveillants, …). Plusieurs sites de Crowdfounding concernés, avec la possibilité d’accéder à l’ensemble des données des utilisateurs ou encore cet accès à des données privées (sensibles dans certains cas, ndr) d’une Préfecture ou d’un régiment militaire.

Autre exemple d'attaque XSS : affichage d'un site, dans la page officielle. Cela aurait pu être un phishing ciblé.

Autre exemple XSS : affichage d’un site dans la page officielle. Cela aurait pu être un phishing ciblé.

En 3ème et dernière position, des « bugs » divers et variés dans des sites web ouvrant les accès aux administrations de ces derniers, sans oublier les sites infiltrés, utilisés par des pirates (Shell, phishing, viagra…).

Je terminerai avec deux opérateurs. SFR qui a corrigé un XSS et Numéricable qui termine la correction (et espérons le rapide patchage, ndr) de ses box en raison de potentialités qui ne peuvent être expliquées ici, pour le moment, tant que les corrections n’ont pas été effectuées.

Si vous souhaitez contribuer au Protocole d’alerte de ZATAZ, et participer à une action cyber citoyenne, le mode d’emploi complet est disponible à cette adresse https://www.zataz.com/protocole/.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.