Faut aider … ou pas ?

Posted On 14 Juin 2019

Comme vous le savez peut-être, depuis plus de 20 ans d’existence, ZATAZ aide bénévolement les entreprises (privées ou publiques), associations francophones … en cas de fuite de données. Et vous ? Que feriez-vous en cas de découverte ? Nous avons posé la question sur Twitter !

Depuis plus de 20 ans, ZATAZ aide bénévolement les entreprises, associations, particuliers face à une fuite de données dont ils seraient responsables via Le Protocole ZATAZ. Plus de 70 000 cas depuis la création de mon blog. 70% des alertes sont communiquées par des internautes anonymes (79%). Un courriel reçu mardi 11 juin 2019 m’a donné une idée de question à lancer sur Twitter. Le mail reçu concernait le parti politique d’extrême droite « Le Rassemblement National« .

Une faille « grave ». Elle pouvait permettre, peut-être, d’accéder aux données internes du groupe politique. Ceci n’est qu’une supputation. Je n’exploite aucune faille reçue pour en connaitre la dangerosité. Pourquoi ? L’éthique et la loi l’interdisent. Des détails me permettent de me dire qu’une exploitation est envisageable.

https://twitter.com/Damien_Bancal/status/1139130031085621248

Du SE, un sondage, des réponses

La question sur Twitter avait donc pour mission de connaitre les avis des internautes intéressés par le sujet. « Bon, j’ai un problème ! J’ai une faille sur le site web d’un parti politique FR qui adore se victimiser. Les alerter, c’est protéger les citoyens Français qui y sont inscrits… mais ne vont-ils par hurler au loup comme ils aiment le faire ? Votre avis ?« .

La question se voulait volontairement vague. Les réponses 2 et 3 étaient très proches. Le vocabulaire choisi permettait de graduer l’envie d’aider.

La question trois étant plus agressive que la seconde. L’addition des mots « parti politique FR« , « victimiser« , « hurler au loup » et la question trois auront surtout laissé parler des internautes manipulés par la question. Un exemple de social engineering par le sondage !

Aider, avant tout !

La question ne donnait pas le nom de la « victime ». D’abord pour ne pas fournir de piste directe sur le site impacté par la faille; ensuite, permettre la discussion.

Un sondage peaufinait donc cette question ouverte : 1 – Alerter (avec 1 R 🙂 ; 2 – Ne pas alerter ; 3 – Qu’ils se démerdent.

24 heures après le lancement de ce sondage: 1 111 votants et 36 réponses.

55% des votant étaient pour « aider » le politique. « Peu importe. Que ce soit un e-commerce, un réseau social ou un parti politique, il faut les alerter. Il ne faut pas faire preuve de partialité parce que c’est un certain parti politique… » confie Nacks. « La sécurité avant tout » motive JusteGeek. Dans le reste du sondage : 3% n’aident pas; 42% invitent le parti politique à se démerder. Un chiffre qui a inquiété plusieurs professionnels du sujet, comme Fabian Rodes « A qd même ! 1 tiers des votes actuellement en faveur du Demerden Sie Sich !« . « Quoique peuvent être leurs réactions, protéger nos concitoyens reste la principale chose à faire 🙂 » exprime Sylvadoc.

Bref, ZATAZ l’a fait, le fait et continuera de le faire : aider bénévolement. Dans le cas d’un parti politique, gardez en tête le conseil de @jujusete « Alerter l’ANSSI » ou encore d’Eric Freysinnet « Aucune hésitation dans ce cas: ssi.gouv.fr« . Et celui de Marc Rees « Données RGPD sensibles-> cnil« .

A noter que pour ce cas « Rassemblement National » comme pour les autres groupes politiques, les partis sont alertés (mais n’ont pas répondu) … tout comme l’ANSSI (qui répond dans la minute).

Vous pourrez retrouver le Protocole d’Alerte ZATAZ via les confessionnal mis en place lors de « LeHack #01 » et du « Hackfest 11 » de Quebec.

Protocole ZATAZ : 70 160 alertes au 13 juin 2019. Suivez en temps réels les alertes ici et là.
Service veille ZATAZ : 1 325 alertes au 08 juin 2019.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.