Developpez.com

Le Club des Développeurs et IT Pro

Sécurité : les 4 plus grands exploits de 2009

Lequel est la bourde informatique de l'année ?

Le 2009-12-19 16:15:05, par Katleen Erna, Expert éminent sénior
Sécurité : les 4 plus grands exploits de 2009, lequel est la bourde informatique de l'année ?

La fin d'année est toujours l'heure des bilans. Aussi, si on fait la rétrospective sécuritaire de 2009, 4 grosses affaires de failles durement exploitées arrivent en tête de liste. Le pire, c'est que chacune de ces histoire concerne une brèche familière. Toutes ces attaques auraient donc théoriquement pu être évitées.

Les entreprises sont tombées sous les balles de problèmes ordinaires. Les hackers ne manquent pourtant pas de nouveaux outils.

Voici les 4 failles plus notables de 2009 :

1 - TSA : la "menace pour la sécurité nationale"
La Transportation Security Administration américaine (TSA) a commis l'une des plus belles bourdes de l'année : l'organisation a en effet, accidentellement, publié sur un site Internet public l'intégralité d'un manuel qui expliquait en détail ses procédures sécuritaires au sein d'un aéroport (la fouille des passagers, la recherche d'explosifs, les règles spéciales appliquées pour les membres du gouvernement et de la CIA, les configurations techniques précises des détecteurs de métaux et d'explosifs, etc.).
La gaffe fut qualifiée de "menace pour la sécurité nationale".

2 - Heartland Payment Systems : vol de 130 millions de numéros de cartes de crédit
Ici, la technique utilisée fut un "grand classique" du piratage informatique : l'injection SQL. Les pirates ont réussi à s'introduire dans le réseau interne d'un système de paiement en ligne pour y voler la bagatelle de 130 mllions de numéros de cartes de crédit. Un record historique qui a balayé d'un revers le précédent record de 94 millions relatif au hack de TJX Compagnies en 2007.

3 - Health Net : le disque dur évanoui
La compagnie Health Net a réussi à égarer un disque dur qui ne contenait pas moins de 7 ans de données non cryptées à propos des informations personnelles, financières et médicales d'environ 1.5 millions de ses clients. Mais, pire encore que cette bourde phénoménale, l'entreprise n'a pas jugé bon d'en avertir ses clients avant que six mois ne se soient écoulés depuis la perte du disque... Pourtant, leurs numéros de sécurité sociale y figuraient...

4 - RockYou Inc : 32 millions de mots de passe stockés en clair
La dernière affaire en date, bien que la plus récente, n'est pas la moindre. Suite à une fille de sécurité, un hacker à réussi l'exploit de voler sur les serveurs de l'entreprise conceptrice d'applications pour réseaux sociaux RockYou un fichier contenant les identifiants et mots de passe de plus de 32 millions de membres inscrits, où toutes les informations étaient disponibles en clair. Aucun cryptage...

Laquelle de ces failles vous parait être la bourde de l'année en matière de sécurité informatique ?
  Discussion forum
26 commentaires
  • Jérémie A.
    Membre confirmé
    On a du fin gratin là, difficile de déterminer laquelle de ces bourdes est la plus grave. En terme de gravité "pur", je dirais que la bourde de la TSA est probablement la plus conséquente d'un point de vue général, mais d'un point de vue purement technique, stocker des passwords en clair à la "RockYou" est probablement la plus importante erreur technique de conception.
    le 19/12/2009 à 18:04
  • HeadCoder
    Nouveau Candidat au Club
    Le détournement de serveur DNS de Twitter! Pour moi ça me paraît gros! Le gars qui a fait ça devait connaître d'avance comment était fait le serveur DNS...
    le 19/12/2009 à 19:39
  • Chuck_Norris
    Membre émérite
    Envoyé par Katleen Erna
    Suite à une fille de sécurité
    Cette phrase m'a bien fait rire.

    Maintenant, le coup du disque dur égaré a tout l'air d'une énorme faille humaine. Je n'avais pas entendu parler de l'affaire, mais je me dis que certains prennent vraiment la sécurité des données par-dessus la jambe pour être capable d'égarder un objet pareil.
    le 19/12/2009 à 22:58
  • nouknouk
    Modérateur
    Envoyé par Chuck_Norris
    je me dis que certains prennent vraiment la sécurité des données par-dessus la jambe
    Et quand on sait à quel point chuck norris peut lever haut ses jambes, on comprend mieux l'ampleur de ce qu'il dit

    Pour revenir au sujet, les erreurs humaines, finalement ça arrive tous les jours. Par contre, stocker des mdp en clair relève quand même de l'incompétence crasse à ce niveau.
    le 20/12/2009 à 22:51
  • lcfseth
    Membre régulier
    Envoyé par Katleen Erna

    1 - TSA : la "menace pour la sécurité nationale"
    Faudra qu'on m'explique, comment on peut accidentellement publier un manuel sur un site publique.
    Envoyé par Katleen Erna

    2 - Heartland Payment Systems : vol de 130 millions de numéros de cartes de crédit
    Erreur classique, probablement du à une négligence humaine, mais qui aurait pu arriver à n'importe qui. Par contre avoir caché l'information alors que les données volées sont aussi sensibles me parait impardonnable.
    Envoyé par Katleen Erna

    3 - Health Net : le disque dur évanoui
    Ça ressemble à un vol de donnée maquillé en erreur humaine. Y'a-t-il eu des estimations des pertes occasionné?
    Envoyé par Katleen Erna

    4 - RockYou Inc : 32 millions de mots de passe stockés en clair
    Ce n'est pas tant incompétence du développeur qui me dérange (quoique), mais surtout le fait que de toutes les personne qui auraient pu voir(ou qui voyait) que les informations étaient stockés en clair, personne n'ai eu l'idée de réparé la bévue. Et puis, stocké ces infos dans un fichier texte? qui fait ça aujourd'hui?
    le 21/12/2009 à 0:26
  • Furiuos
    Membre à l'essai
    Toutes ces failles groupées ça donne froid dans le dos ...
    le 21/12/2009 à 8:38
  • vg-matrix
    Membre confirmé
    Envoyé par Katleen Erna
    3 - Health Net : le disque dur évanoui
    La compagnie Health Net a réussi à égarer un disque dur qui ne contenait pas moins de 7 ans de données non cryptées à propos des informations personnelles, financières et médicales d'environ 1.5 millions de ses clients. Mais, pire encore que cette bourde phénoménale, l'entreprise n'a pas jugé bon d'en avertir ses clients avant que six mois ne se soient écoulés depuis la perte du disque... Pourtant, leurs numéros de sécurité sociale y figuraient...
    J'appelle ça un attentat
    le 21/12/2009 à 8:45
  • dams78
    Membre expert
    En effet c'est du lourd...

    Même moi sans cours de sécurité à l'époque, lorsque j'ai fais mon site (2ème année de bts), j'ai stocké le mot de passe sous forme d'un hash. Alors je trouve ça impardonnable de la part de RockYou Inc.

    Le coup du manuel diffusé sur la toile est pas mal aussi, par contre je voudrai pas être à la place du gars qui l'a fait
    le 21/12/2009 à 9:14
  • zabibof
    Membre averti
    Les 4 sont 1ers ex aequo pour moi, tellement il est difficile de choisir

    Quoique la TSA est quand même énorme et celle qui peut être la plus lourde de conséquence
    le 21/12/2009 à 9:17
  • vg-matrix
    Membre confirmé
    Envoyé par Katleen Erna
    1 - TSA : la "menace pour la sécurité nationale"
    La Transportation Security Administration américaine (TSA) a commis l'une des plus belles bourdes de l'année : l'organisation a en effet, accidentellement, publié sur un site Internet public l'intégralité d'un manuel qui expliquait en détail ses procédures sécuritaires au sein d'un aéroport (la fouille des passagers, la recherche d'explosifs, les règles spéciales appliquées pour les membres du gouvernement et de la CIA, les configurations techniques précises des détecteurs de métaux et d'explosifs, etc.).
    La gaffe fut qualifiée de "menace pour la sécurité nationale".
    Ça été fait exprès et ça mérite une puis et enfin
    le 21/12/2009 à 10:21
  Poster une réponse