[Kitetoa, les pizzaïolos du Ouèb

Cadremploi.fr donne accès à tous les profils des gens qui déposent leurs CV sur ce site...

Bien vu...

Untruste1.jpg (9416 octets)

  nav bar recap admins
Récapitulatif des papiers
sur le monde étrange
des administrateurs réseau
et systèmes
Récapitulatif de nos
copies d'écran
sur ce même monde étrange
Cette page n'est plus mise à jour
depuis août 2001
Taijiquan style Haking (dot com)
Sasak style Haking (dot com)
Le Match Kitetoa versus
Ugly Discoursmarketing
It's a funky job.
But Kitetoa's digital clone
does it...
Do you know info-hack
Kung-Fu?
La hotte du Kitetopapanoël
Ze Mega Kite-Teuf!
La fête de l'été de Kitetoa...
Les sites les plus nazes
de l'été 2000
La Loi de 78 impose
aux entreprises de protéger
les bases de données qu'elles
constituent
...
Mise à jour du 23 décembre 2009 : Dix ans après la publication de cet article, Cadremploi nous demande de préciser que ce bug a été réparé lorsque nous le leur avions signalé, c'est à dire il y a dix ans. Dont acte.

Nous vous avions sans doute déjà pas mal amusés en vous racontant comment il était possible de lire les CV et autres lettres de motivations des gens qui postulent via Internet. Dans le lot, on comptait IBM France et son serveur Lotus Domino (réalisé et vendu par... IBM) mal paramétré. Aujourd'hui, nous allons vous en raconter une bien meilleure... Touyour plous fort! Nous nous demandions jusqu'où le problème de la confidentialité des données (liées à la recherche d'un emploi) pouvaient aller... Et bien il semble que nous ayons trouvé. Quoi que... Si on a trouvé ça, il est probable que nous trouverons pire dans quelques temps.

;)

Bon, revenons à nos moutons. Nous surfions donc sur Cadremploi.fr lorsque la page html se mit à nous faire de l'oeil. Surpris, votre Webmaster préféré se dit: "mais que me veut cette page?". Réponse de l'intéressée: "Tu n'as pas vu mes dessous affriolants... J'ai du Lotus Domino..." Terrain connu mais parfois bien configuré.

Votre Webmaster affûte son outil de guerre: son browser. Allez, petit navigateur, va chercher les données correspondant aux personnes qui ont déposé leurs CV sur le site Cadremploi.fr! Ben étonnement et hallucination de votre webmaster préféré, le site a tout renvoyé sans rien demander. Vous voulez la liste des login/mots de passe de tous les zozos qui ont fait confiance à Cadremploi.fr? Facile. Demandez au serveur et il vous renvoie tout.

A ce stade, votre serviteur se dit "tiens... C'est qui Cadremploi?" Réponse du serveur: "Aujourd'hui, Cadremploi publie les offres de plus de 400 cabinets de recrutement représentant la majorité de leur profession, de différents supports de presse nationaux et régionaux (annonces cadres du Figaro, du Monde, de CB News, du Progrès de Lyon, de l'Union de Reims, de Paris-Normandie,...), des agences de communication spécialisées en ressources humaines et des D.R.H. d'entreprises."

Intrigué, votre webmaster se demande quelle qualité de service est proposée: "CADREMPLOI est animé par une équipe de professionnels qui s'attache chaque jour à offrir aux cadres un service irréprochable."

Vous nous direz: "vous êtes des balaises, c'est facile pour vous, mais pas à la portée de tout le monde". Faux. Premièrement, nous ne sommes pas des techniciens. Encore moins des informaticiens. Deuxièmement, nous utilisons un bête browser pour faire nos trucs. Troisièmement, nous ne piratons pas les sites (pas d'utilisation d'identifiant et de mot de passe du compte administrateur ou ce genre de choses). Troisièmement, le "truc" utilisé pour accéder aux mots de passe des utilisateurs de Cadremploi.fr est trivial et en plus, il est documenté dans le manuel du bon utilisateur de Lotus Notes...

Il y a une loi qui impose aux entreprises de protéger correctement les données personnelles qui leurs sont confiées... Elles commencent quand à respecter ce texte?

Kitetoa vous propose au passage la lecture de cette loi:

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

(Journal Officiel du 7 janvier 1978 )

Article 29

   Toute personne ordonnant ou effectuant un traitement d'informations nominatives s'engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.

Implication de ce bidule

On pourrait arrêter notre papier ici, mais ce serait un peu court. Quelles sont les implications de cette histoire? Simple: lorsque l'on crée un profil sur Cadremploi, on peut y retourner à n'importe quel instant pour le modifier. Avec son login et son mot de passe. Bilan, si un vilain pirate se présente sur Cadremploi.fr et qu'il réalise le même gag que Kitetoa, il peut ensuite modifier subtilement les comptes des utilisateurs. Exemple: dans le champ "Précisez toutes informations complémentaires que vous souhaitez ajouter à votre C.V." de la personne à qui l'on veut du mal, on remplira: "J'ai quitté mes deux précédents jobs parce que les chefs étaient crypto-rigides et j'espère que vous êtes plus ouverts d'esprit". Effet garanti sur les cabinets de recrutement ou les entreprises qui lisent les CV...

Bon, c'est moins "visuel" que d'habitude, mais voici à quoi ressemble la liste des mots de passe des utilisateurs. Histoire que l'on ne vienne pas nous dire que l'on a jamais pu faire un truc comme ça...

Il va sans dire que Cadreploi.fr souligne que toutes vos coordonnées resteront confidentielles...

Kitetoa

 

Liens de navigation

Naviguer, lire....

Page d'accueil

Nouveautés

Le Sommaire
de
Kitetoa

(orientation...)

Communiquer...

Le Forum
Kitetoa-blah-blah

Nous écrire

Les mailing-lists

Les stats du serveur

Qui sommes-nous?

Les rubriques!

Les livres publiés par Kitetoa

Les interviews

Kit'Investisseurs

Fonds d'écran et autres trucs

Les rubriques!
(suite)

KitEcout'

KessTaVu?-KiteToile

Voyages

la malle de Kitetoa
(vieilleries du site)

Les dossiers

Le monde fou des Admins

Tati versus Kitetoa

Tegam versus Guillermito

Malade mental...

Qui est Jean-Paul Ney,
condamné pour
menaces de mort
réitérées contre Kitetoa?

Le texte de la condamnation
de Jean-Paul Ney
(résumé html)
(complet pdf)

Malade mental, bis repetita

Jean-Paul Ney condamné
pour diffamation
à l'encontre du webmaster
de Kitetoa.com

Condamnation de Jean-Paul Ney
pour diffamation (pdf)

D'autres choses...

Aporismes.com

Statisticator

L'association Kite-Aide

Rechercher...

Rechercher
sur le site

et sur le Net...

Jean-Paul Ney

Jean-Paul Ney