Sécurité : les 4 plus grands exploits de 2009
Lequel est la bourde informatique de l'année ?
Le 2009-12-19 16:15:05, par Katleen Erna, Expert éminent sénior
Sécurité : les 4 plus grands exploits de 2009, lequel est la bourde informatique de l'année ?
La fin d'année est toujours l'heure des bilans. Aussi, si on fait la rétrospective sécuritaire de 2009, 4 grosses affaires de failles durement exploitées arrivent en tête de liste. Le pire, c'est que chacune de ces histoire concerne une brèche familière. Toutes ces attaques auraient donc théoriquement pu être évitées.
Les entreprises sont tombées sous les balles de problèmes ordinaires. Les hackers ne manquent pourtant pas de nouveaux outils.
Voici les 4 failles plus notables de 2009 :
1 - TSA : la "menace pour la sécurité nationale"
La Transportation Security Administration américaine (TSA) a commis l'une des plus belles bourdes de l'année : l'organisation a en effet, accidentellement, publié sur un site Internet public l'intégralité d'un manuel qui expliquait en détail ses procédures sécuritaires au sein d'un aéroport (la fouille des passagers, la recherche d'explosifs, les règles spéciales appliquées pour les membres du gouvernement et de la CIA, les configurations techniques précises des détecteurs de métaux et d'explosifs, etc.).
La gaffe fut qualifiée de "menace pour la sécurité nationale".
2 - Heartland Payment Systems : vol de 130 millions de numéros de cartes de crédit
Ici, la technique utilisée fut un "grand classique" du piratage informatique : l'injection SQL. Les pirates ont réussi à s'introduire dans le réseau interne d'un système de paiement en ligne pour y voler la bagatelle de 130 mllions de numéros de cartes de crédit. Un record historique qui a balayé d'un revers le précédent record de 94 millions relatif au hack de TJX Compagnies en 2007.
3 - Health Net : le disque dur évanoui
La compagnie Health Net a réussi à égarer un disque dur qui ne contenait pas moins de 7 ans de données non cryptées à propos des informations personnelles, financières et médicales d'environ 1.5 millions de ses clients. Mais, pire encore que cette bourde phénoménale, l'entreprise n'a pas jugé bon d'en avertir ses clients avant que six mois ne se soient écoulés depuis la perte du disque... Pourtant, leurs numéros de sécurité sociale y figuraient...
4 - RockYou Inc : 32 millions de mots de passe stockés en clair
La dernière affaire en date, bien que la plus récente, n'est pas la moindre. Suite à une fille de sécurité, un hacker à réussi l'exploit de voler sur les serveurs de l'entreprise conceptrice d'applications pour réseaux sociaux RockYou un fichier contenant les identifiants et mots de passe de plus de 32 millions de membres inscrits, où toutes les informations étaient disponibles en clair. Aucun cryptage...
Laquelle de ces failles vous parait être la bourde de l'année en matière de sécurité informatique ?
La fin d'année est toujours l'heure des bilans. Aussi, si on fait la rétrospective sécuritaire de 2009, 4 grosses affaires de failles durement exploitées arrivent en tête de liste. Le pire, c'est que chacune de ces histoire concerne une brèche familière. Toutes ces attaques auraient donc théoriquement pu être évitées.
Les entreprises sont tombées sous les balles de problèmes ordinaires. Les hackers ne manquent pourtant pas de nouveaux outils.
Voici les 4 failles plus notables de 2009 :
1 - TSA : la "menace pour la sécurité nationale"
La Transportation Security Administration américaine (TSA) a commis l'une des plus belles bourdes de l'année : l'organisation a en effet, accidentellement, publié sur un site Internet public l'intégralité d'un manuel qui expliquait en détail ses procédures sécuritaires au sein d'un aéroport (la fouille des passagers, la recherche d'explosifs, les règles spéciales appliquées pour les membres du gouvernement et de la CIA, les configurations techniques précises des détecteurs de métaux et d'explosifs, etc.).
La gaffe fut qualifiée de "menace pour la sécurité nationale".
2 - Heartland Payment Systems : vol de 130 millions de numéros de cartes de crédit
Ici, la technique utilisée fut un "grand classique" du piratage informatique : l'injection SQL. Les pirates ont réussi à s'introduire dans le réseau interne d'un système de paiement en ligne pour y voler la bagatelle de 130 mllions de numéros de cartes de crédit. Un record historique qui a balayé d'un revers le précédent record de 94 millions relatif au hack de TJX Compagnies en 2007.
3 - Health Net : le disque dur évanoui
La compagnie Health Net a réussi à égarer un disque dur qui ne contenait pas moins de 7 ans de données non cryptées à propos des informations personnelles, financières et médicales d'environ 1.5 millions de ses clients. Mais, pire encore que cette bourde phénoménale, l'entreprise n'a pas jugé bon d'en avertir ses clients avant que six mois ne se soient écoulés depuis la perte du disque... Pourtant, leurs numéros de sécurité sociale y figuraient...
4 - RockYou Inc : 32 millions de mots de passe stockés en clair
La dernière affaire en date, bien que la plus récente, n'est pas la moindre. Suite à une fille de sécurité, un hacker à réussi l'exploit de voler sur les serveurs de l'entreprise conceptrice d'applications pour réseaux sociaux RockYou un fichier contenant les identifiants et mots de passe de plus de 32 millions de membres inscrits, où toutes les informations étaient disponibles en clair. Aucun cryptage...
-
Jérémie A.Membre confirméOn a du fin gratin là, difficile de déterminer laquelle de ces bourdes est la plus grave. En terme de gravité "pur", je dirais que la bourde de la TSA est probablement la plus conséquente d'un point de vue général, mais d'un point de vue purement technique, stocker des passwords en clair à la "RockYou" est probablement la plus importante erreur technique de conception.le 19/12/2009 à 18:04
-
HeadCoderNouveau Candidat au ClubLe détournement de serveur DNS de Twitter! Pour moi ça me paraît gros! Le gars qui a fait ça devait connaître d'avance comment était fait le serveur DNS...le 19/12/2009 à 19:39
-
Chuck_NorrisMembre émériteCette phrase m'a bien fait rire.
Maintenant, le coup du disque dur égaré a tout l'air d'une énorme faille humaine. Je n'avais pas entendu parler de l'affaire, mais je me dis que certains prennent vraiment la sécurité des données par-dessus la jambe pour être capable d'égarder un objet pareil.le 19/12/2009 à 22:58 -
nouknoukModérateurEt quand on sait à quel point chuck norris peut lever haut ses jambes, on comprend mieux l'ampleur de ce qu'il dit
Pour revenir au sujet, les erreurs humaines, finalement ça arrive tous les jours. Par contre, stocker des mdp en clair relève quand même de l'incompétence crasse à ce niveau.le 20/12/2009 à 22:51 -
lcfsethMembre régulierFaudra qu'on m'explique, comment on peut accidentellement publier un manuel sur un site publique.
Erreur classique, probablement du à une négligence humaine, mais qui aurait pu arriver à n'importe qui. Par contre avoir caché l'information alors que les données volées sont aussi sensibles me parait impardonnable.
Ça ressemble à un vol de donnée maquillé en erreur humaine. Y'a-t-il eu des estimations des pertes occasionné?
Ce n'est pas tant incompétence du développeur qui me dérange (quoique), mais surtout le fait que de toutes les personne qui auraient pu voir(ou qui voyait) que les informations étaient stockés en clair, personne n'ai eu l'idée de réparé la bévue. Et puis, stocké ces infos dans un fichier texte? qui fait ça aujourd'hui?le 21/12/2009 à 0:26 -
FuriuosMembre à l'essaiToutes ces failles groupées ça donne froid dans le dos ...le 21/12/2009 à 8:38
-
vg-matrixMembre confirméle 21/12/2009 à 8:45
-
dams78Membre expertEn effet c'est du lourd...
Même moi sans cours de sécurité à l'époque, lorsque j'ai fais mon site (2ème année de bts), j'ai stocké le mot de passe sous forme d'un hash. Alors je trouve ça impardonnable de la part de RockYou Inc.
Le coup du manuel diffusé sur la toile est pas mal aussi, par contre je voudrai pas être à la place du gars qui l'a faitle 21/12/2009 à 9:14 -
zabibofMembre avertiLes 4 sont 1ers ex aequo pour moi, tellement il est difficile de choisir
Quoique la TSA est quand même énorme et celle qui peut être la plus lourde de conséquencele 21/12/2009 à 9:17 -
vg-matrixMembre confirméle 21/12/2009 à 10:21