Ok

En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies. Ces derniers assurent le bon fonctionnement de nos services. En savoir plus.

La sécurité informatique ... suite au piratage de données de l'UMP

Des personnes se présentant comme les auteurs du piratage des données personnelles des députés UMP viennent de revendiquer l'opération, en expliquant la méthode, une banale injection SQL à partir d'une faille facile à trouver chez un prestataire extérieur, aidée par l'amateurisme des gestionnaires informatiques de cette société (le même mot de passe partout...).

Un grand classique !!

La leçon à tirer est que la sécurité informatique est un domaine sensible, où malheureusement, les fuites sont toujours possibles.

Si des plaisantins arrivent à trouver l'ensemble des téléphones portables des députés, sénateurs et ministres, sans même avoir à forcer quoi que ce soit (les portes n'étaient pas fermées à clé...), imaginez ce que peuvent faire des pirates chevronnés qui n'hésiterons pas à forcer les portes pour s'emparer de données ultra sensibles.

Même Bercy a été piraté ...

La conclusion des auteurs de ce piratage des données UMP, c'est que plus on a de fichiers, plus on a de risques de fuites.

Exactement ce que je disais dans l'hémicycle le 7 juillet dernier, lors des débats sur la proposition de loi relative à l'identité :


Commentaires

  • Plus inquiétant encore...

    L'affaire du Carlton, et d'autres affaires avant elle, démontre que certains responsables politiques français ont des fréquentations et des activités qui ne conviennent pas à la dignité de leur fonction.

    Ces fréquentations et ces activités, ils les coordonnent éventuellement avec les moyens modernes (Smartphones, etc.). Il est donc à craindre que les données personnelles de certains (carnet d'adresse, email, etc.) ne soient déjà dans les mains de maîtres chanteurs, et ce sans la moindre nécessité d'effraction !

  • Plus inquiétant encore, que certains de nos responsables et représentants, à qui il est demandé un avis quant aux informations qu'il serait de bon ton de garder au sujet des français, n'ai pas la présence d'esprit, le sens des responsabilités de se protéger eux-même ?

    Vous trouvez vraiment que tirer la couverture à soi, sur des scandales qui égrennent l'actualité judiciaire, quand le sujet est tout autre, et sans aucun rapport ?

    Vous avez un sens des priorités bien étrange, monsieur, et votre agenda est quelque peu repoussant.

  • Merci encore pour cette intervention en juillet dernier, même si elle n'a rencontré qu'une surdité aveugle au sein des députés de l'UMP.

    J'ai été positivement étonné hier de constater que dans les commentaires que j'ai pu lire de cet évènement sur le site du Monde, sur le fond les commentateurs se réjouissaient rarement de cette fuite d'informations personnelles des personnalités UMP, mais qu'ils espéraient que ce serait l'occasion pour ces mêmes personnalités de prendre conscience des risques que les divers fichiers nominatifs qu'elles ont autorisés font courir à l'ensemble des Français.

  • Bonjour,

    Votre billet est plein de bon sens et d'une logique imparable pour qui connaît le monde informatique.

    Mais au final, votre pertinence semble bien seule au milieu du monde d'amateurisme et de crainte que représente votre parti.

    C'est dur d'être aimé par des cons ?

  • J'en profite pour rappeler à l'aimable assistance que la loi Hadopi fait obligation à tous les français, qui ne sont pas des professionnels de la sécurité informatique, de quand même sécuriser leur installation, en utilisant des moyens dont la liste n'est toujours pas publiée ...

    Faites ce que je dis ....

  • Espérons qu'après cela, vos collègues vont enfin vous écouter plutôt que de se dire "il nous emmerde, le crétin des alpes, avec des fuites qui n'arrivent jamais"?!

    Mais bon, au vu de ceux qui ont été nommés à des responsabilités depuis 2007 allant au delà de celles des députés... il semble que l'allégeance ait été plus importante que la compétence!

    On voit ce qu'il en résulte dans le pays... Espérons que la dette, dont on a accéléré le creusement depuis 2002 (et le début de budgets dépassant -40Milliards d'Euros), aura au moins pour vertu positive d'arrêter ces couteux fichages...

  • Bonjour,

    Vos collegues vont-il être condamnés pour défaut de securisation de leur données ?? :-) (cf Hadopi).

    Bon, sérieusement, qu'est vous faites encore dans ce groupe de bras cassé de l'UMP ?

  • N'y a-t-il pas des fois où, comme moi, vous avez envie de couper l'Internet de vos collègues pour non sécurisation de leur ligne ?

    Bien cordialement,

  • "Un petit mot pour M. Lionel Tardy, député UMP" de la part des doxump :

    http://pastebin.com/wL4ncXU2

  • Dox UMP - Un petit mot pour M. Lionel Tardy, député UMP : http://pastebin.com/wL4ncXU2

    @Caesar|Thierry|ventilé
    +1 pour leur couper Internet pour non sécurisation de leur ligne...

  • Pour les données biométriques, au niveau de la carte d'identité, il faut voir si le stockage est sur la puce ou en RFID, et si c'est bien stocké à l'image d'une clé privée, qui ne peut être sortie. J'avoue être peu au point sur ces questions : la plupart des pays européens ont apparemment écarté cette option (d'une part parce qu'elle est chère, d'autre part parce qu'ils comprennent bien que c'est assez peu au point). Et à vrai dire, du côté des fournisseurs de cartes, c'est un peu le flou aussi (parce qu'ils n'ont pas de recul et manquent d'expérience, tout simplement !).

    Un fichier constitué de ces données sur un serveur central est en revanche autre chose : la porte ouverte à toutes les fenêtres. Quand bien même on mettrait un garde devant (réponse à la Guéant), il y a certainement une infrastructure de communication pour pouvoir, au hasard, flasher/reflasher ces données. C'est donc tout cela qu'il faut sécuriser, et pas qu'un peu ! (déjà, on comprend bien que le serveur de stockage ne sera pas au même endroit que l'usine où seront flashées les données sur les cartes ; et ça ne dit pas comment vont être collectées et acheminées les données jusqu'au serveur non plus)

    Mais le jour où ça va vraiment moins rire, ce sera quand un boîtier HSM tombera : parce que toute la crypto d'acheminement sécurisé entre une smartcard et un service distant repose sur du chiffrement symétrique !...


    (sur ces questions de smartcards, franchement particulières, je suis tout à fait disposé à vous aider à y voir plus clair : je ne suis pas employé des entreprises du Gixel, ce qui me permet une totale liberté de parole, et je connais le sujet pour avoir participé directement sur la couche software dans le cadre de la mise en place de la carte d'identité européenne — votre assistant me connaît fort bien, vous pouvez passer par lui)

  • Mr Le Député,

    je ne saurais que trop vous encourager à continuer votre démarche éducative dure, longue, sans grand espoir au sein de l'hémicycle. Ce pays ne doit pas tourner le dos au 21ème siècle, ni croire qu'il se pense avec les outils du 20ème.

    Internet est un réseau public mondial, c'est un outils fabuleux de connaissance et de diffusion, il devient stupide de croire que des données peuvent y être stockées sans être un jour compromises, quels que soient leurs niveaux de protection.

    Ce n'est ni un débat de gauche ou de droite, de jeune ou d'ancien, de geek ou de noob, c'est un enjeu de société et de libertés individuelles.
    Sur l'aspect biométrique, mes gènes, mon profil facial, mes empreintes sont ma propriété exclusive, je refuse catégoriquement qu'elles soit stockées en dehors de mon corps (et encore moins dans un fichier sur un quelconque réseau ouvert ou fermé).

    Il serait temps que les parlementaires de ce pays arrêtent de jouer avec la propriété des citoyens qu'ils représentent.

    Je vous souhaite beaucoup de courage dans votre démarche constructive.

  • Je suis fan!

    Autant je suis pas fan de (blogs de personnalités) politiques (à part Patrick Roy, ce mec avait LA CLASSE!) vu qu'on y voit pulluler soit du prosélytisme "mon-parti-c'est-le-meilleur-il-a-la-plus-grosse-(userbase)" soit l'opposé total à un point qui en devient stupide et relou à lire ("Les gens qui voient une conspiration illuminati-arabo-sioniste dans leur bled de 15 habitants à la campagne. #LesGens"), autant là... Ça parle d'informatique, ça irait presque jusqu'à féliciter les auteurs du DOX et en plus, disons-le clairement, se faire citer avec respect et sympathie par les auteurs du Dox, c'est au moins aussi épique que SEGA qui se fait contacter par LulzSec avec pour commentaire "On vous fera rien, on kiffait la Dreamcast."...

    Bref, comme le dit Reflets.info, j'attends toujours que les sociétés qui laissent ainsi pulluler les secrets de leur clients (surtout des mdps en clair...même sur la version de développement de mon site, les mots de passe des dummy_users sont en MD5 le temps que j’intègre le bcrypt dans mon code).

    D'ailleurs quelle est votre opinion à ce sujet (le laisser-aller du prestataire informatique...quoique votre vue sur une bonne manière de stocker des données sensibles peut me faire sourire :) ) en tant qu'ancien gérant de SCI (Source: Wikipédia)?

    PS: Pourquoi dans la liste de questions à droit on trouve " Peluche lapin crétin" en plein milieu? O_o

    (Screen temporaire: http://awesomescreenshot.com/02co6j2a6 )

  • Est ce que cela ne vaudrait pas la peine - allez, je suis super confiant ! - de faire une petite proposition de loi pour interdire tout fichier ne répondant pas à des normes de sécurité maximum ?

    Et, en utilisant le "principe de précaution" d'interdire tout fichier informatisé (au moins) jusqu'à la mise en place de tests concluants ?

    Concernant les données de l'UMP, j'ai personnellement reçu une liste importante de numéros de portable appartenant (manifestement) à plusieurs Ministres et à leurs "connaissances" !

    Comme je suis sérieux, je n'ai évidemment pas diffusé la liste (je l'ai même annulé de ma boite mail) mais je me demande si cet "envoi" n'a pas été fait à tous les "lecteurs" de blogs de députés ou Ministres de la "majorité" !

    Non que je pense que l'un d'entre eux utilise les numéros...Mais cela fait tout de même drôle (enfin pas vraiment) d'avoir sous les yeux le tel du patron de mon épouse (M. CHATEL) !

    Si la mésaventure peut faire revoir à M. CHATEL son jugement sur "base élève" ! Parce que, somme toute, le Ministre semble ne pas trop s'inquiéter que des données personnelles puissent fuiter ! Vers les réseaux pédophiles par ex !

Les commentaires sont fermés.