Developpez.com

Télécharger gratuitement le magazine des développeurs, le bimestriel des développeurs avec une sélection des meilleurs tutoriels

Sécurité : les 4 plus grands exploits de 2009
Lequel est la bourde informatique de l'année ?

Le , par Katleen Erna, Expert éminent sénior
Sécurité : les 4 plus grands exploits de 2009, lequel est la bourde informatique de l'année ?

La fin d'année est toujours l'heure des bilans. Aussi, si on fait la rétrospective sécuritaire de 2009, 4 grosses affaires de failles durement exploitées arrivent en tête de liste. Le pire, c'est que chacune de ces histoire concerne une brèche familière. Toutes ces attaques auraient donc théoriquement pu être évitées.

Les entreprises sont tombées sous les balles de problèmes ordinaires. Les hackers ne manquent pourtant pas de nouveaux outils.

Voici les 4 failles plus notables de 2009 :

1 - TSA : la "menace pour la sécurité nationale"
La Transportation Security Administration américaine (TSA) a commis l'une des plus belles bourdes de l'année : l'organisation a en effet, accidentellement, publié sur un site Internet public l'intégralité d'un manuel qui expliquait en détail ses procédures sécuritaires au sein d'un aéroport (la fouille des passagers, la recherche d'explosifs, les règles spéciales appliquées pour les membres du gouvernement et de la CIA, les configurations techniques précises des détecteurs de métaux et d'explosifs, etc.).
La gaffe fut qualifiée de "menace pour la sécurité nationale".

2 - Heartland Payment Systems : vol de 130 millions de numéros de cartes de crédit
Ici, la technique utilisée fut un "grand classique" du piratage informatique : l'injection SQL. Les pirates ont réussi à s'introduire dans le réseau interne d'un système de paiement en ligne pour y voler la bagatelle de 130 mllions de numéros de cartes de crédit. Un record historique qui a balayé d'un revers le précédent record de 94 millions relatif au hack de TJX Compagnies en 2007.

3 - Health Net : le disque dur évanoui
La compagnie Health Net a réussi à égarer un disque dur qui ne contenait pas moins de 7 ans de données non cryptées à propos des informations personnelles, financières et médicales d'environ 1.5 millions de ses clients. Mais, pire encore que cette bourde phénoménale, l'entreprise n'a pas jugé bon d'en avertir ses clients avant que six mois ne se soient écoulés depuis la perte du disque... Pourtant, leurs numéros de sécurité sociale y figuraient...

4 - RockYou Inc : 32 millions de mots de passe stockés en clair
La dernière affaire en date, bien que la plus récente, n'est pas la moindre. Suite à une fille de sécurité, un hacker à réussi l'exploit de voler sur les serveurs de l'entreprise conceptrice d'applications pour réseaux sociaux RockYou un fichier contenant les identifiants et mots de passe de plus de 32 millions de membres inscrits, où toutes les informations étaient disponibles en clair. Aucun cryptage...

Laquelle de ces failles vous parait être la bourde de l'année en matière de sécurité informatique ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de yoyo88 yoyo88 - Membre expérimenté http://www.developpez.com
le 21/12/2009 à 16:15
Citation Envoyé par deadalnix  Voir le message
En effet, c'est grave en 2009 de croire que la sécurité par l'obscurantisme est une garantie de quelque chose.

c'est pas une garantie de quelque chose, mais les données sur les "détail ses procédures sécuritaires au sein d'un aéroport" sur internet disponible en claire...

Citation Envoyé par deadalnix  Voir le message
Si c'est infos ont besoin d'être secrètes pour assurer la sécurité, alors c'est que le système était de toute façon mal fichu.

y'a certaine données qui doivent rester sercrete, tu croit pas?
sinon tu peut toujours nous données ton numéro de carte bleu ainsi que ton code confidentiel...
Avatar de deadalnix deadalnix - Membre chevronné http://www.developpez.com
le 21/12/2009 à 17:15
Citation Envoyé par yoyo88  Voir le message
y'a certaine données qui doivent rester sercrete, tu croit pas?

À part la clef, non.

Le numéro de la carte de crédit est apr exemple la clef du payement.

Le reste de la procédure est connu, cela ne pose pas de problèmes. C'est le BA B A de la sécurité. Cela s'appelle le principe de Kerckhoffs.

Si ta politique de sécurité n'est pas conforme à ce principe, alors tu peux en conclure que c'est de la merde en boite.

Ça ne veux pas dire qu'il faut absolument publier les infos, mais que la publication de ces infos ne doit pas être une menace sur la sécurité de ton système. Donc, si la publication des infos du cas 1 pose un problème de sécurité, c'est que la politique de sécurité n'est pas conforme au principe de Karckhoffs, et que c'est donc de la merde en boite.

Bref, le problème, c'est bien que la publication de ces infos pose problème, pas la publication de ces infos.
Avatar de yoyo88 yoyo88 - Membre expérimenté http://www.developpez.com
le 21/12/2009 à 18:26
Le reste de la procédure est connu, cela ne pose pas de problèmes. C'est le BA B A de la sécurité. Cela s'appelle le principe de Kerckhoffs.

Si ta politique de sécurité n'est pas conforme à ce principe, alors tu peux en conclure que c'est de la merde en boite.

Je suis d'accord mais la on parle ici des procédure de sécurité d'un aéroport qui ont été mise sur internet, pas d'un système informatique...

c'est quand même sacrement différent...
Avatar de deadalnix deadalnix - Membre chevronné http://www.developpez.com
le 21/12/2009 à 19:03
La sécurité d'un système doit être considérée dans son ensemble. Faire la différence ainsi entre info et autre chose est un non sens.

Ici, si par exemple on contrôle l'accès à un zone de l'aéroport, connaitre la façon dont se fait ce contrôle ne doit pas permettre de s'y soustraire. C'est exactement la même chose.
Avatar de yoyo88 yoyo88 - Membre expérimenté http://www.developpez.com
le 22/12/2009 à 8:40
Citation Envoyé par deadalnix  Voir le message
La sécurité d'un système doit être considérée dans son ensemble. Faire la différence ainsi entre info et autre chose est un non sens.

Ici, si par exemple on contrôle l'accès à un zone de l'aéroport, connaitre la façon dont se fait ce contrôle ne doit pas permettre de s'y soustraire. C'est exactement la même chose.

certes mais c'est toujours plus facile de passé a travers quand on connait les procédure. on y trouve plus facilement une failles.
Avatar de JoeChip JoeChip - Membre éclairé http://www.developpez.com
le 22/12/2009 à 16:37
La plupart des procédures sont connues de ceux qui veulent attaquer la sécurité d'un système ; elle ne sont inconnues que pour le "grand public", ce qui le rassure. La "publication accidentelle" suivie de grands cris sur la menace sur la sécurité nationale, ça ressemble à la mise en place d'un honeypot, j'vous l'dit.

Ca dit "dans les informations publiées il y en a au moins une qui pointe une faille dans la sécurité". Si c'était vrai - ils savent qu'il y a une faille - elle serait colmatée bien en amont...
Avatar de deadalnix deadalnix - Membre chevronné http://www.developpez.com
le 22/12/2009 à 23:51
Citation Envoyé par yoyo88  Voir le message
certes mais c'est toujours plus facile de passé a travers quand on connait les procédure. on y trouve plus facilement une failles.

Certes aussi, mais la non connaissance des procédure comme mesure de sécurité, c'est du bidon.

La publication des procédures de sécurité ne devrait donc pas être un problème.
Avatar de yoyo88 yoyo88 - Membre expérimenté http://www.developpez.com
le 23/12/2009 à 8:19
Citation Envoyé par deadalnix  Voir le message
Certes aussi, mais la non connaissance des procédure comme mesure de sécurité, c'est du bidon.

La publication des procédures de sécurité ne devrait donc pas être un problème.

certes mais a la seul condition que le système de sécurité soit parfait...
perso je connait aucun système parfait.
Avatar de deadalnix deadalnix - Membre chevronné http://www.developpez.com
le 23/12/2009 à 11:15
Non, loin de la.

Mais de toute façon la n'est pas vraiment le problème. La publications des infos n'est pas en soit la faille.
Avatar de yoyo88 yoyo88 - Membre expérimenté http://www.developpez.com
le 23/12/2009 à 11:31
Citation Envoyé par deadalnix  Voir le message
Non, loin de la.

Mais de toute façon la n'est pas vraiment le problème. La publications des infos n'est pas en soit la faille.

Non bien sur, mais c'est juste une bourde énorme.
si l'on compare aux autres bourde de l'année du sondage, c'est quand même la plus grave, parce que pour les autres faut avoir un minimum de connaissance pour avoir accès au diverse info.

la on les offre sur un plateau...
Avatar de MigouW MigouW - Membre actif http://www.developpez.com
le 24/12/2009 à 9:38
Health Net : le disque dur évanoui

Pour moi c'est le fait de ne pas prévenir les clients en plus d'avoir égarer les données!!!
Offres d'emploi IT
Expert sécurité en audit d'applications (H/F)
Société Générale - Ile de France - Val-de-Marne
Data scientist inspection générale (H/F)
Société Générale - Ile de France - Hauts-de-Seine
Analyste SI-métier (H/F)
Société Générale - Ile de France - Val-de-Marne

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil