Suez-Lyonnaise des Eaux nous somme de retirer nos informations du serveur.
Mauvaise stratégie de leur part...
En voici de nouvelles...
Et le déroulé de l'histoire...

- Le 7 décembre à la mi-journée, nous envoyons un mail à tous les interlocuteurs possibles chez Suez-Lyonnaise des Eaux pour les prévenir du défaut d'installation de leur serveur.

- Le premier visiteur en provenance de Suez-Lyonnaise des Eaux arrive sur www.kitetoa.com

-  Le 7 décembre dans l'après-midi, ne recevant pas de réponse, nous envoyons un nouveau mail pour leur indiquer que, en l'absence de réaction de leur part, nous allons publier cette histoire.

- Quelques temps plus tard, nous publions nos informations sur l'installation approximative du serveur.

- En fin d'après-midi, les visites en provenance de Suez-Lyonnaise des Eaux se font plus soutenues.

- Le 8 décembre, nous découvrons, grâce au même "truc" permettant de lister le contenu des répertoires du serveur un problème bien plus grave...

- Nous adressons immédiatement un mail aux mêmes interlocuteurs les invitant à prendre contact avec nous avant publication de cette nouvelle histoire (car nous ne voulons rien publier sans qu'ils aient réparé, le problème étant à notre avis trop grave).

- Oups... à 15 H 30, votre bien-aimé webmaster/metteur à jour a une longue réunion... Intermède... A cette heure là, les serveurs de Suez-Lyonnaise des Eaux sont toujours vulnérables.

- En fin de journée (et de réunion), nous découvrons un mail du responsable des serveurs de Suez-Lyonnaise des Eaux qui nous somme de retirer nos informations. Et nous annonce la fermeture pure et simple des serveurs au public... Ce responsable ne nous demande toutefois pas quel genre de nouveau problème nous avons découvert. Visiblement, cela ne l'intéresse pas...

- Nous prenons notre téléphone pour discuter de tout ça avec le responsable des relations avec les investisseurs de Suez-Lyonnaise des Eaux pour expliquer la portée du nouveau problème que nous avons découvert.

- Dans la nuit du 8 au 9, nous publions la suite des aventures, c'est à dire ceci... L'équipe dirigeante de Suez-Lyonnaise des Eaux peut remercier l'auteur du mail que nous avons reçu. En effet, ce mail a achevé de nous décider à publier la suite...

Voici quelques copies d'e-mails envoyés et reçus:

Le mail initial que nous avions envoyé:

votre problème: www.suez-lyonnaise-eaux.fr/publisher/

Cliquez sur le bouton "Start Web Publisher"

Vous êtes maintenant en train de charger le contenu de votre serveur pour le mettre à jour à distance. Bien entendu il faut un user ID et un mot de passe pour que cela soit possible (la mise à jour). Vous ne risquez donc pas grand chose. Notez toutefois que le contenu du site sera chargé même si vous entrez n'importe quoi comme user ID.Le problème qui est lié à l'accès aux répertoires de votre serveur est que vous risquez de stocker des passwords ou des choses de ce type quelque part et que cela risque d'apparaître dans un répertoire. Nous sommes donc, à notre humble avis, en présence d'une très grosse première marche vers le piratage de votre serveur. Il nous semble donc utile de vous prévenir afin que vous puissiez prendre les mesures nécessaires rapidement. Par ailleurs,il existe de très bonnes entreprises françaises de sécurité informatique et il n'est pas dégradant (au contraire) pour un administrateur de site (et même de réseau) de faire appel à elles pour un audit de temps en temps.

A titre d'exemple de ce que peut laisser voir le Web Publisher, nous joignons un document issu de votre serveur... [NDL: il s'agit du fichier contenant tous les noms et adresses e-mail des journalistes français abonnés à la mailing list de cette entreprise]

Pour finir, notez que nous n'avons pas "piraté" votre serveur. Nous avons simplement "surfé" avec un navigateur Internet Explorer sur votre site. Vous trouverez les traces de notre passage dans vos logs sous l'adresse IP suivante: 195.25.27.51

ou

dyn-1-2-051.Def.dialup.oleane.fr

Amicalement,

K.

Le mail demandant à ce que quelqu'un prenne contact avec nous:

Le mail reçu de l'administrateur des serveurs de Suez-Lyonnaise des Eaux:

Monsieur,

Nous avons reçu vos mails qui ont retenu toute notre attention. Je n?ai, pour ma part, pris connaissance de votre démarche que ce matin.

Vous  ne nous avez pas laissé beaucoup de temps pour y répondre mais sachez nous l?avons prise au sérieux et étudiée avec beaucoup de soin.

Comme vous l?avez constaté, nous avons fermé ces sites au public.

Nous  espérons  que  votre  démarche est dénué de toute malveillance et dans cet esprit, nous vous en remercions.

Par  ailleurs,  nous  sommes  intervenus  auprès  des différents prestataires en charge  du  développement  et  de   l?hébergement  de ce site pour que toutes les dispositions  nécessaires   pour  pallier  les  carences  que vous avez détectées soient prises.

Nous vous serions reconnaissants de retirer votre page nous concernant sur votre site   afin  que les éléments que vous publiez ne soient pas plus longtemps mis à la disposition de gens mal intentionnés.

Nous  voyons  en cette péripétie un bon moyen d?être constructif et nous serions heureux d?échanger avec vous sur ce sujet.

Pour  avant, nous réservons nos droits pour l?hypothèse où la publicité que vous avez donnée à ces insuffisances nous aurait causé un préjudice.

XXXX
Webmaster

La réaction de ce Webmaster est tout à fait compréhensible. Il ne sait pas trop qui est derrière kitetoa.com et se dit que notre dernier mail est plus... "sec". Nous y évoquons un problème plus grave... Il décide donc de fermer ses sites au public. Il faut dire que le grand patron (cf. les adresses e-mails) est au courant. Impossible de cacher qu'il y a un vrai problème.

Là où cela cloche, c'est que ce webmaster nous demande de retirer nos informations... Ce genre de demandes lui viendrait-elle à l'esprit s'il avait trouvé cet article dans un journal papier? Aurait-il appelé le journal en disant: "effacez tout ça au plus vite"? On croit rêver...

Il nous invite à échanger mais ne pose aucune question sur le problème plus grave que nous avons trouvé. Etrange...

Et puis... Il nous explique qu'il se réserve le droit de nous faire un procès.

Aïe.

Premièrement, ce n'est pas gentil de dire cela alors que nous lui évitons des ennuis potentiels en l'aidant -modestement-   à prendre conscience des problèmes sur son serveur. Deuxièmement, il nous menace d'un procès alors que nous avons trouvé sur son serveur le moyen de faire fluctuer le titre de son entreprise en bourse [voir la suite] et que nous nous proposons de le lui dire. Enfin, un autre avant lui (à propos, est-il mandaté par la direction pour proférer cette menace ainsi que le demande de retirer nos informations?) ont avancé la menace d'un procès. Devant l'argumentaire détaillé que nous lui avons fourni, il avait pris acte de la réalité de nos informations et préféré oublier tout ça.

Lire la suite et le détail du second problème découvert par Kitetoa

Kitetoa

Dans la perspective d'un emprisonnement possible après le procès putatif que pourrait nous intenter la Lyonnaise, nous avons créé des stickers que vous pourrez appliquer partout pour nous faire libérer...

;))