Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Sécurité : les 4 plus grands exploits de 2009
Lequel est la bourde informatique de l'année ?

Le , par Katleen Erna

0PARTAGES

1  0 
Quelle faille de sécurité est la plus grande bourde de 2009 ?
Sécurité : les 4 plus grands exploits de 2009, lequel est la bourde informatique de l'année ?

La fin d'année est toujours l'heure des bilans. Aussi, si on fait la rétrospective sécuritaire de 2009, 4 grosses affaires de failles durement exploitées arrivent en tête de liste. Le pire, c'est que chacune de ces histoire concerne une brèche familière. Toutes ces attaques auraient donc théoriquement pu être évitées.

Les entreprises sont tombées sous les balles de problèmes ordinaires. Les hackers ne manquent pourtant pas de nouveaux outils.

Voici les 4 failles plus notables de 2009 :

1 - TSA : la "menace pour la sécurité nationale"
La Transportation Security Administration américaine (TSA) a commis l'une des plus belles bourdes de l'année : l'organisation a en effet, accidentellement, publié sur un site Internet public l'intégralité d'un manuel qui expliquait en détail ses procédures sécuritaires au sein d'un aéroport (la fouille des passagers, la recherche d'explosifs, les règles spéciales appliquées pour les membres du gouvernement et de la CIA, les configurations techniques précises des détecteurs de métaux et d'explosifs, etc.).
La gaffe fut qualifiée de "menace pour la sécurité nationale".

2 - Heartland Payment Systems : vol de 130 millions de numéros de cartes de crédit
Ici, la technique utilisée fut un "grand classique" du piratage informatique : l'injection SQL. Les pirates ont réussi à s'introduire dans le réseau interne d'un système de paiement en ligne pour y voler la bagatelle de 130 mllions de numéros de cartes de crédit. Un record historique qui a balayé d'un revers le précédent record de 94 millions relatif au hack de TJX Compagnies en 2007.

3 - Health Net : le disque dur évanoui
La compagnie Health Net a réussi à égarer un disque dur qui ne contenait pas moins de 7 ans de données non cryptées à propos des informations personnelles, financières et médicales d'environ 1.5 millions de ses clients. Mais, pire encore que cette bourde phénoménale, l'entreprise n'a pas jugé bon d'en avertir ses clients avant que six mois ne se soient écoulés depuis la perte du disque... Pourtant, leurs numéros de sécurité sociale y figuraient...

4 - RockYou Inc : 32 millions de mots de passe stockés en clair
La dernière affaire en date, bien que la plus récente, n'est pas la moindre. Suite à une fille de sécurité, un hacker à réussi l'exploit de voler sur les serveurs de l'entreprise conceptrice d'applications pour réseaux sociaux RockYou un fichier contenant les identifiants et mots de passe de plus de 32 millions de membres inscrits, où toutes les informations étaient disponibles en clair. Aucun cryptage...

Laquelle de ces failles vous parait être la bourde de l'année en matière de sécurité informatique ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Jérémie A.
Membre averti https://www.developpez.com
Le 19/12/2009 à 18:04
On a du fin gratin là, difficile de déterminer laquelle de ces bourdes est la plus grave. En terme de gravité "pur", je dirais que la bourde de la TSA est probablement la plus conséquente d'un point de vue général, mais d'un point de vue purement technique, stocker des passwords en clair à la "RockYou" est probablement la plus importante erreur technique de conception.
1  0 
Avatar de HeadCoder
Nouveau Candidat au Club https://www.developpez.com
Le 19/12/2009 à 19:39
Le détournement de serveur DNS de Twitter! Pour moi ça me paraît gros! Le gars qui a fait ça devait connaître d'avance comment était fait le serveur DNS...
1  0 
Avatar de Chuck_Norris
Membre émérite https://www.developpez.com
Le 19/12/2009 à 22:58
Citation Envoyé par Katleen Erna Voir le message
Suite à une fille de sécurité
Cette phrase m'a bien fait rire.

Maintenant, le coup du disque dur égaré a tout l'air d'une énorme faille humaine. Je n'avais pas entendu parler de l'affaire, mais je me dis que certains prennent vraiment la sécurité des données par-dessus la jambe pour être capable d'égarder un objet pareil.
1  0 
Avatar de nouknouk
Modérateur https://www.developpez.com
Le 20/12/2009 à 22:51
Citation Envoyé par Chuck_Norris Voir le message
je me dis que certains prennent vraiment la sécurité des données par-dessus la jambe
Et quand on sait à quel point chuck norris peut lever haut ses jambes, on comprend mieux l'ampleur de ce qu'il dit

Pour revenir au sujet, les erreurs humaines, finalement ça arrive tous les jours. Par contre, stocker des mdp en clair relève quand même de l'incompétence crasse à ce niveau.
1  0 
Avatar de lcfseth
Membre régulier https://www.developpez.com
Le 21/12/2009 à 0:26
Citation Envoyé par Katleen Erna Voir le message

1 - TSA : la "menace pour la sécurité nationale"
Faudra qu'on m'explique, comment on peut accidentellement publier un manuel sur un site publique.
Citation Envoyé par Katleen Erna Voir le message

2 - Heartland Payment Systems : vol de 130 millions de numéros de cartes de crédit
Erreur classique, probablement du à une négligence humaine, mais qui aurait pu arriver à n'importe qui. Par contre avoir caché l'information alors que les données volées sont aussi sensibles me parait impardonnable.
Citation Envoyé par Katleen Erna Voir le message

3 - Health Net : le disque dur évanoui
Ça ressemble à un vol de donnée maquillé en erreur humaine. Y'a-t-il eu des estimations des pertes occasionné?
Citation Envoyé par Katleen Erna Voir le message

4 - RockYou Inc : 32 millions de mots de passe stockés en clair
Ce n'est pas tant incompétence du développeur qui me dérange (quoique), mais surtout le fait que de toutes les personne qui auraient pu voir(ou qui voyait) que les informations étaient stockés en clair, personne n'ai eu l'idée de réparé la bévue. Et puis, stocké ces infos dans un fichier texte? qui fait ça aujourd'hui?
1  0 
Avatar de Furiuos
Membre à l'essai https://www.developpez.com
Le 21/12/2009 à 8:38
Toutes ces failles groupées ça donne froid dans le dos ...
1  0 
Avatar de vg-matrix
Membre confirmé https://www.developpez.com
Le 21/12/2009 à 8:45
Citation Envoyé par Katleen Erna Voir le message
3 - Health Net : le disque dur évanoui
La compagnie Health Net a réussi à égarer un disque dur qui ne contenait pas moins de 7 ans de données non cryptées à propos des informations personnelles, financières et médicales d'environ 1.5 millions de ses clients. Mais, pire encore que cette bourde phénoménale, l'entreprise n'a pas jugé bon d'en avertir ses clients avant que six mois ne se soient écoulés depuis la perte du disque... Pourtant, leurs numéros de sécurité sociale y figuraient...
J'appelle ça un attentat
1  0 
Avatar de dams78
Membre chevronné https://www.developpez.com
Le 21/12/2009 à 9:14
En effet c'est du lourd...

Même moi sans cours de sécurité à l'époque, lorsque j'ai fais mon site (2ème année de bts), j'ai stocké le mot de passe sous forme d'un hash. Alors je trouve ça impardonnable de la part de RockYou Inc.

Le coup du manuel diffusé sur la toile est pas mal aussi, par contre je voudrai pas être à la place du gars qui l'a fait
1  0 
Avatar de zabibof
Membre habitué https://www.developpez.com
Le 21/12/2009 à 9:17
Les 4 sont 1ers ex aequo pour moi, tellement il est difficile de choisir

Quoique la TSA est quand même énorme et celle qui peut être la plus lourde de conséquence
1  0 
Avatar de vg-matrix
Membre confirmé https://www.developpez.com
Le 21/12/2009 à 10:21
Citation Envoyé par Katleen Erna Voir le message
1 - TSA : la "menace pour la sécurité nationale"
La Transportation Security Administration américaine (TSA) a commis l'une des plus belles bourdes de l'année : l'organisation a en effet, accidentellement, publié sur un site Internet public l'intégralité d'un manuel qui expliquait en détail ses procédures sécuritaires au sein d'un aéroport (la fouille des passagers, la recherche d'explosifs, les règles spéciales appliquées pour les membres du gouvernement et de la CIA, les configurations techniques précises des détecteurs de métaux et d'explosifs, etc.).
La gaffe fut qualifiée de "menace pour la sécurité nationale".
Ça été fait exprès et ça mérite une puis et enfin
1  0