­

Comment le « Protocole Alerte ZATAZ » peut vous prévenir d´un problème de cybersécurité, de fuite de données ou d’une malveillance repérée  ? 80 000 entreprises aidées en 25 ans.  Protocole alerte zataz

Qu’est-ce que ZATAZ ?

ZATAZ est un média spécialisé dans la cybersécurité. Depuis sa création, voilà plus de 25 ans, il a aidé bénévolement plus de 80 000 entreprises à identifier et comprendre des problèmes de sécurité liés à leurs systèmes d’information. Fuite de données, malveillance repérée, Etc. Jamais d’audit, de pentest sauvage, Etc. Le Protocole d’Alerte ZATAZ correspond à une information apparue lors de la veille naturelle de ZATAZ ou par le biais d’un internaute souhaitant passer par notre analyse, culture, éthique et notoriété.

Qu’est-ce que le “Protocole d’alerte ZATAZ” et en quoi est-il différent du service de veille ZATAZ ?

  • Le Protocole d’alerte ZATAZ est 100% gratuit. Il ne commercialise aucun service. C’est la procédure utilisée pour transmettre aux entreprises (publiques ou privées) et associations, des informations relatives à une découverte de ZATAZ : vulnérabilité, fuite de données ou un autre problème de cybersécurité diffusée par un pirate.
  • Le service de veille ZATAZ propose une veille professionnelle, pour un particulier ou une entreprise. Il s’agit d’une entreprise. Les deux entités ne partagent aucune information. Le SVZ ne sollicite JAMAIS les entreprises alertées par un PAZ.

Le Protocole d’alerte de ZATAZ ne consiste pas à mener des audits ou des tests d’intrusion (« pentest »). ZATAZ se borne à relayer les informations qu’il reçoit ou découvre légalement, puis à prévenir les entités concernées afin qu’elles puissent résoudre le problème au plus vite.

Comment fonctionne le Protocole d’alerte ZATAZ ?

  1. Réception ou découverte d’une information

    • ZATAZ reçoit ou découvre une alerte concernant un particulier, une association ou une entreprise (publique/privée) : faille de sécurité, fuite de données, etc.
    • Important : ZATAZ n’effectue aucun audit ni pentest de sa propre initiative. En France, le « pentest sauvage » est illégal et puni par la loi.
  2. Prise de contact avec l’entreprise – MAIL 1

    • ZATAZ envoie un mail à l’entreprise/organisation pour trouver un interlocuteur compétent (direction, DPO, service presse).
    • MAIL 1 ne mentionne aucun détail sur la vulnérabilité ou la fuite détectée. Il s’agit simplement d’une demande de mise en relation, qui inclut :
      • L’identité de ZATAZ
      • Le courriel est identifiable par la signature numérique, la clé PGP, et son contenu.
  3. Transmission des informations « techniques » – MAIL 2

    • Une fois le contact établi via le MAIL 1, ZATAZ envoie un second message (« MAIL 2 »).
    • MAIL 2 contient :
      • La date de l’alerte
      • Le niveau de gravité
      • Une présentation du problème : explications techniques, preuves publiques s’il y en a, et conseils de sécurisation
    • Source de l’alerte : ZATAZ ne la révèle pas, sauf si :
      • la source est Damien Bancal (fondateur de ZATAZ) lui-même,
      • ou que la source tierce a donné une autorisation écrite de divulguer son identité.
    • Une alerte non nominative est diffusée sur X (anciennement Twitter) et Bluesky pour confirmer l’alerte transmise par courriel.
      La publication est rédigée de façon à être assez explicite pour que l’entreprise concernée sache qu’elle est visée, sans la nommer publiquement, afin de préserver son anonymat.
  4. Actions de l’entreprise et absence de vérification postérieure

    • ZATAZ ne vérifie pas si la faille ou la fuite est corrigée par la suite. L’entreprise reçoit toutes les informations nécessaires et reste seule responsable de sa remédiation.
    • ZATAZ alerte L’ANSSI et la CNIL si cela s’avère nécessaire. Les deux entités se chargeront de rappeler les obligations légales aux entreprises qui tarderaient à agir ou refuseraient de se conformer à la loi.
  5. Avertissement aux lanceurs d’alerte

    • ZATAZ déconseille fortement à toute personne (particulier, chercheur en cybersécurité, etc.) de continuer à explorer ou vérifier la correction de la faille. Toute tentative de test, audit ou intrusion non autorisée peut exposer l’auteur à d’éventuelles poursuites judiciaires (plainte contre X).
    • Les informations recueillies sont transmises exclusivement par courriel à l’entreprise. Il n’y a aucun contact par téléphone, ni via les réseaux sociaux (LinkedIn, Twitter, Discord)

B – Lanceurs d’alerte

  • ZATAZ a déjà accompagné plus de 80 000 entreprises de manière bénévole.
  • Toutes les informations envoyées à ZATAZ sont vérifiées dans la mesure où la loi l’autorise.
  • Vous avez une information à transmettre ?
    • Il existe une adresse dédiée au Protocole d’alerte ZATAZ, accessible uniquement par mail. Tout autre moyen ne sera pas pris en compte.
    • Une clé PGP est également disponible pour sécuriser vos envois.

Engagements de ZATAZ

  1. Le Protocole d’Alerte ZATAZ ne sollicite ni les internautes ni les entreprises pour obtenir des informations.
  2. PAZ ne vend pas et n’exploite pas les données découvertes ou reçues.
  3. ZATAZ ne copie, ne sauvegarde, ni n’imprime aucune information tirée des alertes, hormis :
    • Les mails envoyés aux entreprises (MAIL 1 et MAIL 2).
  4. Si vous contactez le Protocole ZATAZ, il est vivement déconseillé de :
    • Copier ou sauvegarder les données sensibles.
    • Continuer à explorer les systèmes pour vérifier la vulnérabilité.
    • Tester de nouveau la sécurité de l’entreprise alertée, sans y être autorisé par cette dernière.

Rappels légaux

  • Le pentest sauvage ou l’audit non autorisé est illégal et puni par la loi en France.
  • Accéder à tout ou partie d’un système de traitement automatisé de données sans autorisation est un délit (articles 323-1 à 323-5 du Code pénal).
  • Se maintenir dans un système de traitement automatisé de données sans autorisation est également répréhensible (articles 323-1 à 323-5 du Code pénal).

Pour toute question ou alerte, veuillez utiliser exclusivement l’adresse email dédiée au Protocole d’alerte ZATAZ, en n’oubliant pas que la clé PGP est à votre disposition pour garantir la confidentialité de vos échanges.

off

Faille pour un espace du site Dofus

Une vulnérabilité visant un espace du site Dofus.com pourrait être exploitée par un pirate. En attendant une correction rapide, zataz.com vous déconseille de cliquer sur le moindre lien vous proposant de visiter le portail de l’éditeur de jeux vidéo Ankama. Jock0day, un lecteur de zataz, est passé par notre...