Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Comment faut-il juger les cybercriminels ?
Un hacker condamné à 20 ans de prison pour vol de données

Le , par Katleen Erna

0PARTAGES

0  0 
Mise à jour du 29.03.2010 par Katleen

Comment faut-il juger les cybercriminels ? Un hacker condamné à 20 ans de prison pour vol de données

Après une délibération longue, c'est un verdict lourd qui a été rendu avec plusieurs mois de retards sur la date annoncée en début de procès.

Rappelez-vous, fin 2009, nous vous avions parlé d'Albert Gonzalez, ce pirate qui avait dérobé plus de 130 millions de numéros de cartes de crédit.

Lors de son procès, il avait finalement décidé de plaider coupable.

Le pirate de 28 ans était inquiet de la sentence qui l'attendait, mais s'attendait-il à une peine aussi lourde ?

Jeudi, il a été condamné par un tribunal de Boston (Massachussets) à vingt ans de prison.

C'est la peine la plus lourde jamais prononcée pour du piratage de données

L'homme de 28 ans ne s'est pas arrêté en si bon chemin, et il devra comparaitre en fin de semaine pour les chefs d'accusation de complot, fraude informatique et vol d'identité pour d'autres actes de piratage.

Sa peine pourrait ainsi se rallonger de 5 ans.

La justice américaine a voulu faire de ce cas un exemple, comme l'a expliqué la juge Patti Saris : «Même si vous éprouvez des remords (...), je dois lancer un message, vu l'énorme coût de votre délit».

Albert Gonzales avait de plus dissimulé un million de dollars dans le jardin de ses parents. Somme qu'il a restituée aux autorités pour rembourser une partie de ses victimes.

Gonzales souhaitait mettre 15 millions de dollars de côté, s'acheter un yacht, et prendre sa retraite. Il va la prendre, c'est sûr, mais à l'ombre.

Mise à jour du 14/09/09

Vol de 130 millions de cartes bleues : Albert Gonzalez reconnait les faits

Après avoir annoncé qu'il allait plaider coupable, Albert Gonzalez vient de reconnaitre les faits qui lui sont reprochés, ce Vendredi, devant une Cour du District de Boston.

Il a également apporté des précisions sur son mode opératoire (confirmant ainsi les news précédentes cf. ci-dessous).

Accusé du plus grand vol de numéros de CB de l'histoire de l'informatique, le forfait remonte à 2003. Depuis cette date, Albert Gonzalez a admis avoir revendu ces listings puis placé cet argent sur des comptes bancaires en Lettonie.

Le Hacker encours aujourd'hui une peine de 25 ans de prison et une amende de 1,65 millions de dollars. Tout ses biens peuvent être saisis pour payer cette dette.

Son avocat a déclaré à la presse que l'accusé se sentait "vraiment mal".

Le verdict est prévu pour le 8 Décembre 2009.

MAJ par Gordon Fowler.

Mise à jour du 31/08/09

Vol de 130 millions de cartes bleues : Albert Gonzalez plaide coupable

Le responsable du plus important vol de numéros de cartes bleues de l'Histoire de l'informatique a annoncé qu'il plaiderait coupable.

Albert Gonzales, hacker reconnu, avait été engagé par les services secrets américains avant d'être démasqué comme "agent double.

Suite à ce "au plaidoyer de marchandage" (plea bargain) avec le procureur, le présumé cerveau de l'escroquerie réalisée par injection SQL (cf. plus bas, news précédente) encourt désormais une peine de prison diminuée allant de 15 à 25 ans.

Il devra par ailleurs payer 2,8 millions de dollars en liquide, vendre un appartement à Miami, sa voiture et un montant non précisé de bijoux pour s'acquitter de l'amende liée à son forfait.

MAJ par Gordon Fowler

Hacking : des attaques par injection SQL permettent à trois américains de voler plus de 130 millions de numéros de cartes bleues. Comment contrer ces attaques ?

Un habitant de Miami âgé de 28 ans, Albert Gonzalez, ainsi que ses deux comparses d'origine russe ont été accusés aujourd'hui par les Services Secrets du New Jersey de ce que les journaux U.S. désignent déjà comme le plus grand vol de données de l'histoire américaine.

Les trois hommes ont en effet réalisé une attaque à grand échelle. Ils ont en tout mis la main sur plus de 130 millions de numéros de cartes bancaires, ainsi que sur les informations personnelles d'identification des propriétaires qui y étaient associées.

L'américain et les deux russes opéraient depuis octobre 2006 avec une technique bien rôdée : une attaque par injection SQL qui leur permettait de voler les informations désirées en contournant le pare-feu du réseau visé. Ils envoyaient ensuite les données volées sur des serveurs aux Pays-Bas et en Ukraine et effaçaient leurs traces.

Une injection SQL est un type d'attaque ciblant les applications fonctionnant avec une base de données relationnelle. Le pirate injecte une requête SQL imprévue dans le système et exploite les failles générées par cette action.

En effet, pour les sites fonctionnant de cette manière, les paramètres sont annoncés à la base de donnée sous la forme de requêtes SQL. Vous comprendrez alors aisément que si l'administration du site ne contrôle ni ne verouille les paramètres ainsi envoyés, un pirate pourra aisément compromettre la base de données, y accédant par l'envoi de ses propres requêtes falacieuses.

Par exemple, certains caractères permettent d'éxécuter plusieurs requêtes à la suite, tandis que d'autres (par exemple, l'apostrophe) forcent à ignorer la suite de la requête. De cette manière, un hacker peut lancer presque n'importe quelle requête de son cru.

Les autorités locales se félicitent d'avoir appréhendé les trois pirates -malgré les protections sophistiquées qu'ils avaient utilisées pour dissimuler leurs identités- ce qui couronne leurs efforts pour poursuivre de manière individuelle les personnes sévissant de cette manière dans le "grand banditisme électronique". La justice américaine à ici fait preuve d'une grande diplomatie pour travailler conjointement avec ses homologues étrangers dans ce cas d'envergure internationale.

L'entreprise ayant subit le plus gros préjudice dans cette affaire est Heartland Payment Systems à qui les pirates ont volé plus de 100 millions de numéros de cartes de crédit. Ont aussi été mises à mal 7-Eleven Inc. (chaîne de magasins nationale basée au Texas, 4.2 millions de numéros volés) et Hannaford Brothers (chaîne de supermarchés ayant son siège dans le Maine). Les noms des deux autres compagnies victimes de cette fraude n'ont pas encore été rendus publiques.

S'ils sont reconnus coupables, les trois compères risquent jusqu'à 25 ans de réclusion criminelle ainsi qu'une amende de plus de 500.000 dollars chacun.

Mais ce n'est pas tout pour Gonzalez, récidiviste arrêté une première fois en 2003 pour fraude à la carte bancaire, qui sera également jugé en septembre 2009 ainsi qu'à l'automne 2010 pour d'autres braquages électroniques (vol de données des compagnies TJX Companies, Dave & Busters, BJ's Wholesale Club, OfficeMax, Boston Market, Barnes & Noble, Sports Authority, Forever 21 et DSW).

Source : Communiqué du Ministère de la Justice des Etats-Unis

Comment éviter une attaque par injection SQL ? Utiliser des comptes utilisateurs SQL à accès limité (en lecture-seule) et des requêtes SQL préparées (requêtes à trous envoyées au serveur SQL, serveur à qui l'on envoie par la suite les paramètres qui boucheront les trous) est-il suffisant ?

Avec tous les moyens de protection actuels, est-il normal que de telles attaques soient encore réalisables ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Halleck
Rédacteur https://www.developpez.com
Le 18/08/2009 à 8:06
Je serai curieux de savoir comment ils ont été retrouvés. 130 milliosn, c'est n'importe quoi, quelques centaines suffisent non ?

Avec tous les moyens de protection actuels, est-il normal que de telles attaques soient encore réalisables ?
Oui il y a toujours des failles, la priorité d'un site n'est pas toujours la sécurité. C'est "normal" je trouve que des sites soient piratables, par contre ça l'est moins quand ils contiennent des données sensibles

Et sur toutes ces cartes, combien ils en avaient exploité ?
0  0 
Avatar de Floréal
Membre éclairé https://www.developpez.com
Le 18/08/2009 à 8:56
Sur chacun des comptes reliés à ces cartes de crédits tu prend une petite somme même imperceptible, de l'ordre du centime, calcules combien tu empoches. C'est là l'intérêt que je vois à pirater 130 000 000 numéros de Carte bancaires.
Sinon ils ont beau avoir le super firewall de la mort qui tue la vie, si les codeurs n'ont pas pris les bonnes dispositions pour sécuriser correctement le site, ça ne sert à rien.
0  0 
Avatar de Valère
Expert confirmé https://www.developpez.com
Le 18/08/2009 à 9:11
L'intérêt principal de ce type de vol de numéros de cartes bancaires, ce n'est pas de les utiliser soit même, mais bien de les revendre.
0  0 
Avatar de Lyche
Expert confirmé https://www.developpez.com
Le 18/08/2009 à 9:19
Sur un forum d'informatique on devrait plus se soucier de "comment est-il possible de laisser de telles failles de sécurité quand on a à charge des données aussi sensible que des Numéros de carte de crédit"
Sérieusement. Je travail dans une banque et la plus petite application est protégé, au minimum contre les SQL Injection.
Ça m'insupporte plus que tout de voir que des entreprises de cette taille et de cette importance négligent totalement la sécurité et acceptent des développeurs qui ne soient pas capable de maitriser cette sécurité.. c'est le B A BA de l'intranet/internet que de protéger son site contre ce type d'attaque.. Si encore c'était récent
0  0 
Avatar de Inazo
Membre confirmé https://www.developpez.com
Le 18/08/2009 à 9:41
Bonjour à tous,

En effet voir des sites contenant des données très très sensibles vulnérable à des failles d'injection SQL... C'est une honte... Ce qui m'attriste le plus c'est que se genre d'attaque et plus que courante et que je n'ai pas l'impression que cela affole les gens, la sécurité étant la dernière choses qui préoccupe 98 % de mes clients...

Par contre :
tandis que d'autres (par exemple, l'apostrophe) forcent à ignorer la suite de la requête.
L'apostrophe ne sert pas à ignorer la suite de la requête, cela va dépendre du SGBDR et bien souvent on utilise des "--" ou des "/*", chacun ayant ça spécification.

L'apostrophe sert plus à casser, et encore pas toujours, la zone de valeur pour un champ dans une clause de la requête, par moment un simple espace suffit pour avoir le même résultat. Et ainsi permettre de rajouter des conditions dans une requêtes tel que OR 1=1 pour lister toutes les valeurs ce qui peut produire des mini DoS, mais qui en multithread pourrait être douloureux ^^.

Cordialement,
0  0 
Avatar de Bart-Rennes
Membre régulier https://www.developpez.com
Le 18/08/2009 à 9:43
Mais pourquoi les boutiques stockent les numéros de cartes ! là j'ai du mal à comprendre, on effectue la transaction de paiement, c'est validé, terminé on supprime le numéro de carte bancaire. Pourquoi la stocker !
0  0 
Avatar de Inazo
Membre confirmé https://www.developpez.com
Le 18/08/2009 à 9:49
Pourquoi le stocker ?

C'est une excellente question, pour ma part la seul raison et que l'on cherche les ennuies ou que l'on est très sûr de son système de sécurité, vraiment très très sûr... Exemple Nierle.com qui il y a quelques années avait connu un sort identique.

De plus si un site stock vos numéro de CB il doit de manière ostensible vous le signaler.

Enfin certain site tel qu'Amazone stock vos numéro de CB mais j'ose croire, pas forcément avec raison, qu'Amazone a une sécurité digne de ce nom pour éviter se genre de déconvenue.

Cordialement,
0  0 
Avatar de LittleBean
Membre averti https://www.developpez.com
Le 18/08/2009 à 9:57
Sur une forum d'informatique on devrait plus se soucier de "comment est-il possible de laisser de telles failles de sécurité quand on a à charge des données aussi sensible que des Numéros de carte de crédit"
Sérieusement. Je travail dans une banque et la plus petite application est protégé, au minimum contre les SQL Injection.
Peut être que si les grands organisme ne prestarisaient pas tant leurs applications, ils y aurait moins de soucis .... ou du moins plus de compétance dans ce domaine

acceptent des développeurs qui ne soient pas capable de maitriser cette sécurité.
Ce n'est pas toujours la faut des dev mais bien souvent de leurs chefs ..... tu chiffre une fonctionnalité à 5J on te dis de la faire en 2J, les trois critéres qui y perdent sont maintenabilité, sécurité et performance ...


L'intérêt principal de ce type de vol de numéros de cartes bancaires, ce n'est pas de les utiliser soit même, mais bien de les revendre.
+1

Mais pourquoi les boutiques stockent les numéros de cartes ! là j'ai du mal à comprendre, on effectue la transaction de paiement, c'est validé, terminé on supprime le numéro de carte bancaire. Pourquoi la stocker !
Il est courant aux states de payer à crédit, pour cela les grands magasins ont besoin de garder les références bancaires de leurs clients(je suppose).
0  0 
Avatar de Inazo
Membre confirmé https://www.developpez.com
Le 18/08/2009 à 10:02
En France on peut ajouter des modules de paiement a crédit je pense que se genre de solution a été développé aussi aux USA. Voir nous vient directement de chez eux.

Cordialement,
0  0 
Avatar de Valère
Expert confirmé https://www.developpez.com
Le 18/08/2009 à 10:03
Citation Envoyé par Bart-Rennes Voir le message
Mais pourquoi les boutiques stockent les numéros de cartes ! là j'ai du mal à comprendre, on effectue la transaction de paiement, c'est validé, terminé on supprime le numéro de carte bancaire. Pourquoi la stocker !
La boite Heartland Payment Systems sur laquelle ont été piqués le plus grand nombre de carte de crédit est visiblement un organisme de services bancaires...

La honte!
0  0