IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le site de TF1 victime d'un piratage
Des données de près de deux millions d'abonnés dérobées

Le , par Stéphane le calme

0PARTAGES

7  0 
Des pirates informatiques, qui revendiquent leur appartenance au groupe Linker Squad, ont profité d’une faille dans l’espace réservé aux abonnements presse de TF1, une vitrine en ligne qui permet d’acquérir des journaux, de s’abonner via le « Accueil service abonnement TF1 » au Point, aux Inrockuptibles, à Time magazine etc., pour dérober des données de 1,9 million de clients.

Damien Bancal, journaliste spécialisé dans des sujets relatifs à la cybersécurité ou au cybercrime pour le compte du quotidien Zataz, dont il est le fondateur, affirme avoir été contacté par des pirates informatiques qui ont signé leurs actes sous ce pseudonyme. « Notre but est de défier les sociétés victimes de nos piratages, qu’ils se rendent compte de leurs erreurs », lui ont-ils fait savoir. L’équipe de TF1 a alors été contactée et sa réaction a été rapide, puisque la faille a été corrigée dans l’heure. La direction technique a confié par la suite que ce service est géré par un tiers, donc, a priori, seule sa responsabilité serait engagée.


capture d'écran des clients de TF1 révélée par Zataz

Pour prouver qu’ils ont réussi à extraire des données de la base de TF1, les pirates ont fait parvenir à Damien des informations sous forme de captures d’écran. « Les bdd sont une mine d’or », lui ont-ils rappelé avant de préciser que les données en leur possession « seront sûrement vendues ». De quelles données s’agit-il ? « Parmi les informations qu’il m’a été possible de consulter, des adresses mails, des mots de passe (non chiffrés). Selon les dires des “visiteurs” des données bancaires, sous forme de RIB, auraient été ponctionnées », a avancé Damien. TF1 a cependant précisé que sur les moyens de paiement, les informations sont cryptées.

Cependant, grâce aux mots de passe subtilisés, qui sont parfois les mêmes que ceux qui sont utilisés pour les comptes mails, les pirates ont affirmé avoir réussi à accéder aux boîtes personnelles de certains des abonnés. « C'est toute l'identité numérique de l'internaute qui se retrouve entre leurs mains », avance Damien à RTL. Selon lui, cela pourrait conduire à des « malversations » voire à des « usurpations d'identité ». Sur le sol français, les pirates risquent jusqu’à 5 ans de prison ferme et 350.000 € d’amende.

Source : zataz

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de curt
Membre chevronné https://www.developpez.com
Le 03/01/2015 à 17:58
Issu du site de TF1 :
Le groupe TF1 tient néanmoins à rassurer ses internautes : "aucune donnée des internautes inscrits à TF1.fr et gérées par TF1 n'ont été exposées, ni piratées". Seuls sont affectés les abonnés du prestataire de ce service
Comme quoi, la sous-traitance ça a du bon.... ça permet de transférer la responsabilité !!! et TF1 s'en sort sans dommage... même pas honte !

Curt
5  0 
Avatar de Namica
Membre expérimenté https://www.developpez.com
Le 04/01/2015 à 0:38
Quant aux responsabilités, allez savoir ce qu'il y avait dans le cahier des charges du projet confié au prestataire et les réserves éventuelles du dit prestataire ?
De toute façon, comme maitre d'oeuvre, TF1 endosse toute la responsabilité à propos des dommages causés aux tiers. A lui de se retourner contre le prestataire s'il a failli au cahier des charges. et encore, il y a du, à un moment ou un autre, avoir eu une procédure de réception.

Il ne suffit pas de dire c'est pas notre faute, notre prestataire nous a fourni de la merde, encore faut-il que l'on aie pas demandé de la merde sur base d'une vue bêtement comptable du moindre coût.

Il est prématuré d'établir des responsabilités sans autres informations.

Maintenant, c'est clair que ne pas faire un hash des mdp est une faute et que implémenter un bête sha-256 n'est pas compliqué.
Mais cela implique aussi d'autre problèmes tels que e.a. procédures en cas d'oubli de mdp, etc., ce qui a un coût...

Était-ce dans le cahier des charges ou TF1 a-t-elle voulu en faire l'économie ?
Nous n'en savons rien et le PDG de TF1 probablement pas plus, malgré ses déclarations.

Le prestataire n'aurait pas du jouer dans un tel jeu, amho.

Wait and see...
5  0 
Avatar de Namica
Membre expérimenté https://www.developpez.com
Le 04/01/2015 à 1:04
Citation Envoyé par curt Voir le message
Issu du site de TF1 :
Comme quoi, la sous-traitfaance ça a du bon.... ça permet de transférer la responsabilité !!! et TF1 s'en sort sans dommage... même pas honte !
Curt
Ben non, pour les tiers lésés, la responsabilité incombe à TF1.
Il appartient à TF1 de s'adresser en justice contre ses sous-traitants s'ils ont failli au travail qu'il leur avait été confié.
Les tiers ne connaissent rien aux sous-traitants de TF1. Ils ont contracté avec TF1 point final.

Si tu fais appel à un entrepreneur pour construire ta maison et que celui-ci sous-traite la toiture, c'est à l'entrepreneur que tu t'adresses si ta toiture est défectueuse.

Il en va de même avec toutes nos données à caractère privé: à qui sont-elles transmises|sous-traitées|analysées|...
Les lois de protections de la vie privées ne sont pas toujours bien respectées jusqu'en bout de chaîne, malgré les déclarations de confidentialité dont se gargarisent la plupart des sites.
5  0 
Avatar de Mc geek
Membre habitué https://www.developpez.com
Le 03/01/2015 à 16:45
TF1 qui stocke les mots de passes en clair ? J'aurais jamais pensé qu'ils seraient capable de cette incompétence.
4  0 
Avatar de Luckyluke34
Membre émérite https://www.developpez.com
Le 05/01/2015 à 13:38
Citation Envoyé par kolodz Voir le message
Oui, mais ça permet de renvoyer le mot de passe de madame Michu quand elle l'oublie celui-ci...
La pratique recommandée (et utilisée par tous les sites sérieux) dans ce cas-là est d'envoyer un lien de réinitialisation du mot de passe avec éventuellement une question personnelle obligatoire, pas de faire transiter le password en clair dans un mail...
3  0 
Avatar de VBrice
Membre habitué https://www.developpez.com
Le 03/01/2015 à 18:20
C'est se que je me suis dit: toujours avoir un fusible qu'on peut faire sauter pour rester indemne
2  0 
Avatar de Shuty
Membre éprouvé https://www.developpez.com
Le 05/01/2015 à 10:27
Parmi les informations qu’il m’a été possible de consulter, des adresses mails, des mots de passe (non chiffrés).

C'est tout bonnement croyable de lire ca quand même ! Surtout de nos jours...
2  0 
Avatar de survivals
Membre actif https://www.developpez.com
Le 17/01/2015 à 19:13
Pour avoir bossé en tant que prestataire dans une banque pendant plusieurs années, je peux vous dire que les mots de passe apparaissait en clair dans les requêtes POST et parfois même GET, et à côté de ça on corrigeait des bugs parce qu'une image était en HTTP au lieu de HTTPS, rendant ainsi visible au client utilisant un message de leur navigateur concernant la sécurité (l'arbre qui cache la forêt), ce qui les dérangeaient c'était pas le fait qu'un lien ne soit pas en HTTPS mais plutôt que le navigateur avertissait l’utilisateur de la faille. Quant aux données présente en base, elles sont accessibles en claire, sauf les mots de passe mais il suffit de connaitre l'algo de cryptage pour retrouver le mot de passe, et oui vos données de comptes ... sont accessibles en claire, ce ne sont pas des données de test mais belle et bien vos données réelles, une vrai politique de robustesse coûte plus cher sur le court terme que de corriger après coup en analysant avec les vrais données pour comprendre où est le bug. Je ne parlerais même pas des risques de délit d'initié que de laissé ces données accessibles en clair (le cas est arrivé, interdiction d'en parler).

C'est sûr ça coûte moins cher de faire du Web "amateur" que d'avoir une vrai politique de sécurité Informatique, voilà ce que se passe lorsque l'on laisse le privée (intérêt personnel) prendre le dessus sur l'état (intérêt commun)

Je me rappel même avoir lu un article sur une faille struts qui avait été découverte et exploité par certains pays, un commentaire demandait pourquoi on en parlait pas plus c'était quand même une énorme faille, un autre commentaire disait que de toute façon struts n'était plus utilisé, et bien figuré vous que dans cette banque (ou j'ai travaillé) et bien struts est largement utilisé et dans ça version avec faille.

Le prestataire informatique n'est qu'une excuse pour reporter la faute sur l'autre et ne pas accuser les vrais responsables qui sont les dit responsables justement, ils ont la responsabilité de mettre en place une équipe de contrôle du code diffusé sur leur site. On est pas expert en sortant de l'école, mais par l'expérience et l'apprentissage par autrui qui a de l'expérience, or les vieux on les virent car on imagine qu'un jeune sera plus adapter dans l'utilisation des nouvelles technologies, c'est faux ! La dites nouvelles technologie n'existent que parce que les anciennes existent et le retour d'expérience sur ces anciennes techno est pour moi importante.

Comment un prestataire pourraient devenir expert sachant qu'il ne peux selon la loi rester plus de 3 ans sur une même mission, la prestation est là pour mettre de la flexibilité dans l'emploi, une façon de faire du 0 stock de ressources.

Au final tout le monde y perd sauf ceux qui veulent faire de l'argent égoïstement sur le court terme, ce qui emmerde TF1 est plus le fait que ces données puisse être revendu par quelqu'un d'autres qu'eux, vos comptes et mot de passe ils s'en foutent.
2  0 
Avatar de VBrice
Membre habitué https://www.developpez.com
Le 03/01/2015 à 16:51
Bravo pour avoir été rapide à corriger la faille.

Ils est toujours impossible de savoir si tout les sites/services tiers d'un site web font de nos donnée, et si ils sont secure.
Ce genre de news n'est vraiment pas étonnante. Mais il est bien de le rappeler.

@Mc geek: Malheureusement cela arrive souvent, c'est bien triste. Peut de personne sont sensibilisé au risque informatique... Et stocker des mots de passe non chiffrer est quand même un grosse faute de leur partenaire! Qu'avez t-il dans la tête quand il on décidé de ne pas les chiffrer?!!!!!
1  0 
Avatar de MintWater
Membre actif https://www.developpez.com
Le 04/01/2015 à 14:20
Stocker les mot de passe en clair (ou avec un chiffrage/hash bidon) ça va au delà de l'incompétence, comme indiqué dans l'article beaucoup de personne réutilisent le même mot de passe pour plusieurs services (et la même adresse email), ce qui fait que le moins sécurisé plombe tous les autres. Malheureusement, il est encore trop fréquent de trouver ce genre de fonctionnement, où dans le projet, la sécurité est recalée en priorité minimale (donc à coût immédiat minimal), parce que de toute façon le piratage ça n'arrive qu'aux autres. C'est comme construire un immeuble en se disant que la sécurité incendie, les issues de secours on s'en fout parce qu’il n'y a pas de raison que le bâtiment crame un jour ...
Mais c'est vrai qu'en ces temps de criiiise c'est le coût de prestataire à court terme qui est le plus important, et il ne faut pas se leurrer, quand on paye des cacahuètes, on attrape des singes
1  0