jeudi, 23 juillet 2009
Web : Une faille de sécurité sur un site d'actu locale laisse entrevoir les données personnelles des internautes
Le premier site d'info collaboratif du coin a rencontré quelques soucis lors de la mise en place de sa nouvelle version.
Pour le coup, ce n'est pas une intrusion dans un système informatisé mais une erreur du développeur qui est à l'origine de l'incident.
Si l'on se fie aux commentaires, celui-ci aurait corrigé l'erreur quelques heures plus tard après une alerte d'internaute. Hélas, des petits malins déclarent publiquement qu'ils ont eu accès aux données personnelles renseignées par les internautes lorsqu'ils déposent un commentaire. Les adresses IP enregistrées lors de l'envoi d'un commentaire seraient également concernées.
"J'ai fait un article sur le sujet lundi et la rédaction, plus que le refuser, l'a supprimé, je voulais juste vous prévenir que pendant tou le week end, les adresses d'inscription étaient libres d'accès, ainsi que les pseudos, et les IP des internautes figuraient aussi au dessus de leurs commentaires.... MaCommune n'a rien fait pour nous prévenir et m'ont censurer par 4 fois quand j'ai tenté de le faire!!!! Aucune réaction non plus après que le sujet ai été lancé sur le fil "nouvelle mouture"....." indique l'un de ces internautes sous le pseudo luma25000.
Un autre, "PaQ", fait une allusion déguisée aux personnes qui se cachent sous les pseudos dont il a eu connaissance.
"Pas de soucis non plus si je demande à Veilleur de me réserver une table pour 4 pour Samedi ?" écrit PaQ.
Si bon nombre de ces internautes n'ont rien à cacher, personne n'aimerait que des individus malveillants se servent des adresses mail pour spammer plus que chacun ne l'est déjà.
Mais l'affaire pourrait ne pas en rester la si Martine Jeannin, conseillère municipale d'opposition, n'avait pas déposé un commentaire indiquant que ses codes et son pseudonyme auraient été usurpé et utilisés à son encontre : "je ne voudrais pas vous faire peur mais vous savez tous comme moi que nous sommes fichés...les adresses IP Sont repertoriées et analysées, je regrette une seule chose c'est d'avoir ouvert ma porte généreuse que je suis à certains qui se sont bien amusés à reprendre mes codes d'accès et mon IP pour mettre des commentaires à ma place en me faisant passer pour une "poire"."
Elle ajoute que "je demande à ces personnes de bien vouloir arrêter d'écrire en mon nom je suis Madame Martine Jeannin conseillère muncipale à Besançon, tout texte non signé n'est pas de moi.... J'ai fait part au ministère des commentaires qui n'étaient pas de ma personne et je demande que les commentaires qui m'insultent fassent l'objet d'un contrôle.....bien placée dorénavant au ministère de la justice....Jean Marie Bockel gauche mOderne."
Martine Jeannin (en espérant que ce soit la vraie) ne précise pas si elle compte déposer plainte pour usurpation d'identité, diffamation et dénigrement. Toutefois, on ne sait pas si cette usurpation est liée au récent incident de mise en place de la nouvelle version du site ou s'il s'agit d'une affaire différente.
Pour éviter le spamming en cas d'incident, il y a la solution de l'email temporaire anti-spam (email jetable). Il existe des dizaines de services plus ou moins bons en la matière, la plupart étant gratuits, c'est le cas de Jetable.org, Link2mail ou encore Haltospam.
En tout cas, on aurait apprécié un message pour rassurer rapidement les internautes sur les mesures prises afin de protéger leurs données dont certaines semblent s'être envolées dans la nature et sont sans doute déjà dans les mains de méchants trolleurs qui ne pouvaient pas mieux rêver qu'une telle mine de renseignements pour continuer à troller...
13:53 Publié dans On m'a dit que... | Lien permanent | Commentaires (12) | Envoyer cette note | Tags : besançon, besac, doubs, web, internet
Commentaires
Comme quoi avant de mettre en production un site il faut le recetter...
Ecrit par : http://www.beburlesque.com | jeudi, 23 juillet 2009
Je vous ai envoyé, dès lundi un mail dénonçant cette faille, pourquoi ne l'avoir pas publié avant?
Ecrit par : Luma | jeudi, 23 juillet 2009
Quel drame ! ! !
Ecrit par : remy | jeudi, 23 juillet 2009
Je suis très sensible à ce qui touche à l'info sur le net ainsi qu'à sa sécurité.
La communication du staff du site en question sur ce problème me laisse perplexe, j'y ferais le troll jusqu'à ce qu'ils admettent qu'une erreur humaine de leur part a laissé filer des infos.
Ce n'est pas le fait qu'ils se soient plantés qui me chagrine, c'est le fait qu'ils se revendiquent comme étant un site d'infos participatives et qu'ils nient leur gaffe.
Je trouve ça particulièrement malhonnête.
Au passage, chercher grâce à une IP qui a joué avec le compte de cette dame est aussi stupide qu'un truc comme hadopi, l'adresse IP ne prouve rien car il est très facile d'en utiliser une de substitution, je me suis moi-même connecté au site avec des IPs exotiques et j'utilise des hotspots ou des Wifis d'emprunt pour accéder au net...
Par contre, si par curiosité j'ai regardé quelques données, je tiens à ajouter que je n'ai rien publier ni expoiter.
Ecrit par : PaQ | vendredi, 24 juillet 2009
Avez vous vérifié les informations que vous donnez ? S'agit-il vraiment d'un problème de programmation ou de piratage ? Je ne suis pas sur que vous soyez vraiment informé sur ce qu'il ce soit vraiment passé ! Avez vous appeller le développeur du site ? Pourtant certains membres se sont crus malins d'afficher son numéro de téléphone sur le site ! Vous auriez pu le faire vous auriez su vraiment ce qu'il s'est passé.
Ce n'est pas la première fois que macommune.info est la cible de personnes mal intentionnées.
De plus, vous faites un raprochement assez indéliquat en ce qui concerne le cas de Madame Jeannin. Car si les emails et IPs ont été visibles aucun mot de passe n'a été divulgué ! Même les administrateurs du site ne les ont pas !
Concernant Luma25000, son article a été supprimé car il faisait de la désinformation. Et jusqu'à présent si macommune.info à subit quelques problèmes techniques jamais il ne difusent d'actualité malveillante.
Bonne fin de journée !
Ecrit par : moi-même | dimanche, 26 juillet 2009
Cher moi-même (benoit, webmaster de MaCommune)
Qui d'autre que toi a la main sur le code du site? C'est donc encore un "piratage" de gens mal intentionnés en plein passage à une nouvelle version qui embarque de nouvelles fonctionnalités?
Allons, c'est une erreur humaine comme il en arrive parfois, point.
Venant de toi, je suis surpris que tu me demandes de vérifier une information qui aurait du être publiée sur ton site pour jouer la transparence totale et rassurer les gens qui commentent... et qui t'accordent leur confiance pour protéger leurs informations. Je crois en faire partie depuis pas mal de temps.
Lorsque tu me dis que "ce n'est pas la première fois que macommune.info est la cible de personnes mal intentionnées", je trouve ça original car ça laisse penser que le dernier incident est du à une intrusion. Alors qu'en réalité, cela ne semble pas être le cas.
Il semble me souvenir de t'avoir proposé une aide (ou via ton père) lorsque tu as été victime du premier incident. Cette proposition était, il me semble, restée sans réponse.
Plutôt que d'interpréter le présent billet à ta façon, j'aurai aimé que tu ailles un peu plus loin et je t'invite donc à relire un passage.
Dans quelques commentaires, une certaine Martine Jeannin visiblement agacée indique que des gens ont usurpé son nom pour poster.
En clair, sans l'incident technique qui a visiblement révélé les mails de quelques personnes, est ce que Mme Jeannin se serait rendue compte que des gens postent en son nom et sans sa validation ?
Sur ce point, tu noteras que j'ai pris le soin d'indiquer très clairement aux lecteurs que : "on ne sait pas si cette usurpation est liée au récent incident de mise en place de la nouvelle version du site ou s'il s'agit d'une affaire différente."
Je trouve assez injustifié de venir me dire que je fais un "rapprochement indélicat" alors que je prends une précaution de base et que je pose une question.
Pour les mots de passe, ne sachant pas comment est développé ton site, je ne vais pas me risquer à écrire quoi que ce soit. Mais comme tu le sais, mon premier métier est le même que le tien.
Même un ado de 14 ans qui touche au PHP pourrait te dire que si tu stockes des pass en MD5, il est possible de les déchiffrer en 2 secondes: http://www.authsecu.com/decrypter-dechiffrer-cracker-hash-md5/decrypter-dechiffrer-cracker-hash-md5.php
En conclusion, sur les commentaires de Luma25000, c'est ton choix éditorial que je n'ai pas à commenter.
Je reste à ta disposition pour t'aider et/ou pour parler de cet incident par téléphone/msn/skype/mail ... tu dois avoir l'ensemble de ces coordonnées donc si tu avais voulu, tu aurais aussi pu me joindre.
Je te souhaite ainsi qu'à ton équipe, une excellente fin de journée également.
Nicolas
Blog de la Boucle
Ecrit par : Nicolas (blog de la boucle) | dimanche, 26 juillet 2009
La désinformation que je faisais, c'était de prévenir l'internaute que son adresse était peut être public, alors que les commentaires sont de plus en plus censuré, ce n'est pas de la désinformation, ce n'est qu'une information que tu voudrais cacher, rien à voir..... mais je vous avait d'abort proposé de faire vous même votre mea culpa, si vous m'en laissez le soin, comprenez alors que l'article ai un ton aigri....
Ensuite, sous l'article vide que vous avez publié pour faire part du problème j'ai publié commentaire sur commentaire jusqu'à ce que cessiez de les supprimers, les premiers indiquaient la faille et un lien vers la CNIL, quelle désinformation ici?
Je crois que je vais m'acharner encore un peu sur MaCommune, on ne peut pas déclarer un site collaboratif et mépriser ceux qui découvre un faille, vous en prévienne et vous aide à le rendre plus transparent......
Ecrit par : Luma | lundi, 27 juillet 2009
Mon cher Nicolas,
Tu as le droit de faire les suppositions que tu veux et imaginer ce qu'il te plaira.
Nous avons communiqué sur cet incident. Après avoir pu analyser ce qu'il s'était passé, j'ai moi-même rédigé un article sur l'incident : http://www.macommune.info/actualite/nouvelle-mouture-de-macommune-info-quelques-perturbations-9514.html
Concernant ma "méprise" sur Madame Jeannin dans mon dernier commentaire elle vient de ce passage dans ton article :
"Mais l'affaire pourrait ne pas en rester la si Martine Jeannin, conseillère municipale d'opposition, n'avait pas déposé un commentaire indiquant que ses codes et son pseudonyme auraient été usurpé et utilisés à son encontre "
C'est bien toi qui l'a écrit ?
Tu y parles bien de code d'accés ! Toi qui es si bon en culture geek et qui pourrait en apprendre au monde entier, tu devrais savoirs que pour dire son email et son pseudonyme on ne dit pas ses codes d'accès et son pseudonyme ! On pourrait croire que tu écrits n'importe quoi pour faire un scoop. De plus tu utilises des commentaires qui n'ont rien à voir avec le problème en question.
Je n'ai donc aucune justification à te donner. De plus je n'ai pas besoin de ton aide. Je connais des personnes bien plus compétente que ta tchatche. Voilà pourquoi je n'ai pas pris la main que le grand Nicolas me tendait.
Je n'ai plus rien à te dire ! Et si tu as encore un problème envoi moi un mail ! Je n'aime pas trop tes lâchés d'affirmations non vérifiées totalement manipulatrices.
Benoît Mislin ou peut-être Georges Mickael ou Nicolas ?
Ecrit par : et oui c'est bien moi-même | lundi, 27 juillet 2009
Benoit,
Je décide de te répondre publiquement une nouvelle fois en espérant que tu n'interprètes pas ces propos comme bon te semblera, notamment de façon négative à ton égard car ce n'est vraiment pas l'objectif.
Tu me prends pour un donneur de leçon sous le coup de la colère alors que je ne crois pas avoir dit que tu étais mauvais ou qu'il fallait changer de développeur. Bien au contraire, chacun doit apprendre de ses erreurs, moi le premier.
J'ai écris un sujet qui, il me semble, est raisonnablement calibré pour ne pas porter atteinte à ton site mais bien pour manifester un certain mécontentement en tant que lecteur et commentateur.
L'affaire des codes de Mme Jeannin est indépendante, c'est quelque chose qui devient clair pour moi mais celle-ci a posté . D'où cette précaution : "on ne sait pas si cette usurpation est liée au récent incident de mise en place de la nouvelle version du site ou s'il s'agit d'une affaire différente."
Il est clair que me donner une justification ne m'intéresse pas, mais elle aurait sans doute intéressé tes lecteurs/membres vu les mails reçus en PV.
Tant mieux si tu n'as pas besoin de l'aide amicale proposée il y a quelques semaines, je respecte ton choix. Et tant mieux également si tu connais d'autres personnes "bien plus compétentes que ma tchatche", même si visiblement, elles n'ont pas été d'une grande utilité pour éviter l'incident que nous évoquons.
En un an et demi, c'est la toute première fois que l'on me taxe d'un "lâché d'affirmations non vérifiées totalement manipulatrices" ; je prends ça de qui ça vient et te remercie pour cette leçon de transparence qui t'honore.
Je te propose un article complémentaire pour mettre au point tout cela, parlons en.
Je te souhaite une bonne journée.
Nicolas
Ecrit par : Nicolas (Blog de la Boucle) | lundi, 27 juillet 2009
Le vrai problème, en tant qu'utilisateur de MaCommune, est que l'article ne prévient jamais que les mails et pseudos (ainsi que les IP) ont été visible, et un mensonge en prime, les données étaient accessibles tout le week end et pas seulement une nuit.....
Mais bon, je vois qu'il suffit de s'expliquer sur un autre blog pour que ça suffisse..... mon cher Nicolas, si pour toi "la faute avouée est pardonnée", encore faut-il qu'elle soit avouée à ceux qu'elle a touché..... nous les internautes de MaCommune!!!
Ecrit par : Luma | lundi, 27 juillet 2009
Cher Benoît,
vous semblez très vexé ou alors vous avez un ego démesuré. C'est moi qui ai publié vos coordonnées dans les commentaires, ce ne sont pas des données confidentielles, c'est vous même qui les diffusez à plusieurs endroits sur le net et vous êtes dans l'annuaire. Le but était de déclencher chez vous une réaction afin d'obtenir quelques explications...qui ne sont jamais venues.
Vous avez mon @mail, je me serait contenté d'une vraie explication en privée et je n'aurais pas polémiquer davantage. Mon but n'est pas de détruire votre travail, mais simplement de me rassurer, étant lecteur et depuis peu inscrit comme rédacteur (annonce d'évènement pour être précis) Vous avez fait le choix du silence et vous avez sous les yeux les conséquences de cette erreur. Sur le net, les écrits peuvent rester longtemps...
Je note que vous n'avez pas le courage de signer ici vos commentaires, que vous persistez à ne pas répondre ni à Luma ni à moi-même et vous remercie pour le quart d'heure hilarant engendrer par la lecture de votre récent billet sur les trolls.
Vos lecteurs ne sont pas tous des geeks mais ce n'est pas une raison pour les prendre pour des taches.
Ecrit par : PaQ | mardi, 28 juillet 2009
C'est assez pathétique de retrouver toujours la même faune sur les sites d'infos... toujours les mêmes pseudos et la même agressivité gratuite, alors que ceux qui se revendiquent troll, loin d'être de gentilles créatures de la forêt, sont bien contents d'avoir des sites comme les votre pour occuper leurs tristes journées...
Ecrit par : Sofia | jeudi, 20 août 2009
Écrire un commentaire
NB : Les commentaires de ce blog sont modérés.