Comment le « Protocole Alerte ZATAZ » peut vous prévenir d´un problème de cybersécurité ?
A – Comment ça marche ?
- 1 – ZATAZ.COM reçoit ou trouve une information concernant un problème de cybersécurité d’un particulier, d’une association, d’une entreprise (privée/publique).
- 1 – ZATAZ ne fait AUCUN audit/pentest.
- 2 – Pour rappel, le pentest sauvage est puni par la loi Française.
- 2 – Nous mettons tout en place pour alerter la société. UNIQUEMENT par mail.
-
- MAIL 1 – Dans un premier temps un mail est envoyé à la société afin de trouver un contact qualifié. Nous viserons, dans le meilleur des cas, la direction de la société/DPO/Service presse.
- Le MAIL 1 ne comporte aucune information sur la fuite, faille, problème à remonter. MAIL 1 est une demande de mise en relation. Il y a mon identité, le numéro d’alerte (Cf.: C1).
- Quand une prise de contact est effectuée grâce au MAIL 1, qu’un interlocuteur est identifié grâce au MAIL 1, nous communiquons toutes les informations permettant la correction via le MAIL 2.
- Dans le MAIL 2 (Baptisé Rappel à la Loi) nous ne fournissons aucune info sur la source de l’alerte, sauf si cette dernière est découverte par mes soins; que notre source a donné l’autorisation écrite de le faire.
- Le MAIL 2 comporte :
-
- Date de l’alerte;
- Son niveau de gravité. Niveaux mis en place avec l’aide de l’ANSSI et la CNIL.
- Présentation du problème; l’explication technique du problème, des preuves « publiques » (Google cache, Archive, …) si ces dernières existent, conseils de sécurisation.
-
- Nous ne vérifions pas la correction de la faille/fuite. Nous considérons que l’entreprise est assez grande pour se prendre en main. L’ANSSI et la CNIL ont de quoi ouvrir les chakras des plus récalcitrants.
- Nous déconseillons fortement aux lanceurs d’alerte de vérifier la correction; de solliciter, par la suite, l’entreprise; de tester la sécurité de l’entreprise alertée … sauf si vous aimez la plainte contre X.
- Les informations sont envoyées UNIQUEMENT par courriel à l’entreprise.
- Pas de communication téléphonique et/ou via les réseaux sociaux (Linkedin, Twitter, Discord …)
- L’adresse émettrice du MAIL 1 et MAIL 2 est URGENT(ate)DAMIENBANCAL.FR. Cette adresse ne répond à aucune question/sollicitation. Une adresse électronique dédiée est proposée dans le courriel d’alerte.
-
Dans tous les cas :
- Le MAIL 2 est mis en copie à L’Agence Nationale de Sécurité des Systèmes Informatiques (ANSSI).
- Le MAIL 2, en cas de fuite de données, est mis en copie à la Commission Informatique et des Libertés (CNIL).
B – Lanceurs d’alerte
Plus de 70 000 entreprises ont été aidées bénévolement depuis la création de ZATAZ. (voir)
ZATAZ vérifie les informations reçues dans les limites autorisées par la loi.
Si vous avez une information à transmettre. Le courriel est l’unique point de contact. Une adresse dédiée au Protocole ZATAZ est disponible ICI. Une clé PGP est disponible.
- Nous ne faisons aucune sollicitation auprès d’internautes ou d’entreprises.
- Nous ne vendons pas et n’utilisons pas les informations reçues.
- Nous ne copions, sauvegardons, imprimons AUCUNE information tirée de l’alerte reçue.
- Nous ne gardons que les mails envoyés aux entreprises : MAIL 1 et MAIL 2.
- Si vous souhaitez faire appel au Protocole ZATAZ nous vous déconseillons fortement de copier, sauvegarder, vous maintenir dans l’espace que vous souhaitez nous remonter.
- L’audit/Pentest sauvage, sans y avoir été invité est illégal.
- Accéder tout ou partie à système de traitement automatisé de donnée est pénalement répréhensible (ART.323-1/323-5 C. Pénal).
- Se maintenir tout ou partie dans un système de traitement automatisé de donnée est pénalement répréhensible (ART.323-1/323-5 C. Pénal).
C – Numéro d’alerte
- Les entreprises aidées reçoivent un numéro d’alerte dans MAIL 1 et Mail 2.
- Ce numéro d’alerte se trouve dans l’espace dédié baptisé « Protocole d’alerte ZATAZ en cours » (Cf.: D). Ce même numéro d’alerte se trouve sur Twitter, sur le compte dédié @protocole_zataz.
- Ce numéro ressemble à cet exemple : 020920191330.
- Les huit premiers chiffres correspondent à la date, dans l’exemple le 02 septembre 2019.
- Les quatre suivants, l’heure de l’alerte : 13h30.
- Niveau de l’alerte : Plus il y a d’étoile noire, plus le problème est grave.
-
– Alerte Légère: Pas de données permettant de retrouver une personne, envoyer un mail, l’appeler …
-
– Alerte faible: adresse postale. Pas de données permettant de retrouver une personne directement, envoyer un mail, l’appeler …
-
– Alerte moyenne : identité, adresse postale, mail, téléphone fixe.
-
– Alerte importante : identité, adresse postale, mail, téléphone fixe et mobile, mot de passe, photo, pièce d’identité.
-
– Alerte grave : Identité, adresse postale, mail, téléphone, mot de passe, photo, pièce d’identité, données bancaires, données de santé, accès serveur, accès site web, black market …
-
D – La page des protocoles d’alerte
La page est accessible ici.
Cette page est composée ainsi : Protocole n’020920191330 🔥 Société d’équarrissage 🔓 Fuite de données. CNIL Alertée.
- Le numéro d’alerte (Cf.:C1)
- Le secteur de l’entreprise alertée.
- Le problème constaté
- Entités alertées : CNIL, ANSSI ou les deux.