Zataz contraint de se taire...
Il y a quelque mois j'étais tombé sur une belle faille de sécurité : un site qui donnait un accès libre à des données bien sensibles. Alors je précise vu que le net est plein de gens qui ne savent pas lire, cette faille que j'ai trouvé, n'a rien à voir avec le sujet que nous allons aborder ici, c'est histoire quelque chose de faire une introduction... Bref, flairant le coup casse gueule, j'avais transmis l'information à un spécialiste du genre, Damien Bancal, du site zataz.com.
Ce dernier avait alors mis en branle son protocole d'alerte consistant en tout premier lieu à prévenir l'intéressé, attendre que la faille soit corrigée, puis bien évidemment publier un article sans pour autant citer ses sources. Du journaliste responsable en somme.
L'ensemble de la démarche est généralement bien apprécié par les entreprises car outre le fait que Zataz ne révèle jamais le moindre détail exploitable, le prix modique d'un article nominatif leur évite, à eux et à leurs clients, des préjudices bien plus graves. Malheureusement, chaque règle donne lieu à ses malsaines exceptions et dernièrement Damien en a fait les frais...
L'histoire commence de la même manière que la mienne, par un internaute qui tombe par hasard sur des données disponibles à travers un serveur FTP ouvert aux quatre vents. Et "tomber" est le mot juste car tout ce qu'il a eu à faire, fut de lancer une bête requête sur son moteur de recherche préféré et d'admirer tous ces curieux résultats en libre accès que ce dernier avait indexé.
Une fois prévenue, la société propriétaire du site FTP en question a, comme les autres, fort apprécié le fameux système d'alerte qui lui a permis de corriger ce trou béant. En revanche, mauvaise joueuse, elle a moins bien accepté la publicité de l'article fait par la suite sur sa mésaventure. Encore l'histoire du beurre, de l'argent du beurre et du postérieur rebondi de la belle crémière...
Ainsi, deux moins après la publication, la société a demandé, via le TGI, la destruction de l'article et des données s'y rapportant. Déjà on appréciera le côté très "bio" de la démarche, sachant que je vois mal l'auteur refuser une demande amicale dans le même sens. Mais qui sait, elle l'a peut-être fait, l'histoire ne le dit pas...
Toujours est-il que si l'on se base sur ce que nous rapport Damien, l'accusation semble reposer sur l'audit d'un "expert en sécurité" qui après avoir ausculté les logs du serveur, a diagnostiqué une intrusion maligne utilisant la très vicieuse technique du compte "
Pour mémoire, j'ai dû croiser au moins deux douzaines de ces "experts en sécurité" dans ma vie. Un seul était vraiment digne de ce titre, les autres étant un vague ramassis d'opportunistes dont la seule compétence se résumait à la lecture assidue d'Hackademy Magazine. Les chiffres n'étant pas de son côté, le patron de cette boîte n'a peut-être pas tirer le bon numéro...
A ce stade, on se dit qu'il n'y a aucune chance que notre système de justice, sain d'esprit, puisse conclure à autre chose qu'une plaisanterie. Et pourtant... c'est bien ce qui est tombé en fin Janvier. Zataz a donc été enjoint à faire disparaître toutes les informations liées à cette histoire ainsi qu'à payer les frais de justice (7200€ so far), en plus de ce qui a été déboursé pour sa défense. Seule "compensation", le juge semble avoir admis que les données étaient bel et bien accessibles du réseau public. En attendant société a, du moins pour l'instant, eut ce qu'elle voulait...
Et l'aventure ne se termine malheureusement pas là avec le procès en diffamation cette fois, qui devrait s'ouvrir mi-février prochain.
Mais au delà des détails, cette affaire repose une nouvelle fois les problèmes posés par la divulgation d'une découverte de ce genre. Aujourd'hui il semble établi que se livre à cet exercice est une activité à risque. On pourra toujours reprocher à Zataz de publier ce genre d'information mais il est aussi logique de prendre cela comme ça juste rétribution. Au fond quels auraient été les préjudices pour cette société s'il n'en avait simplement pas parlé ? Combien de temps les données auraient elles été disponibles à tous ? Et même si je peux comprendre qu'une société veuille protéger son image, ne serait-il pas plus sain de sa part de communiquer par exemple sur sa rapidité de réaction ? Je n'ai évidement pas de réponse et il sera intéressant de savoir ce que la justice en penser.
En attendant, l'aventure coûte des sous, et il serait donc bien chrétien d'apporter quelques deniers pour au moins rétablir la balance financière et permettre au site de continuer à fonctionner. Pour ce faire, vous trouverez les informations nécessaires à la fin de cet article.
