[Kitetoa, les pizzaïolos du Ouèb

Loft Story: les débiles péremptoires à l'oeuvre

  nav bar recap admins
Récapitulatif des papiers
sur le monde étrange
des administrateurs réseau
et systèmes
Récapitulatif de nos
copies d'écran
sur ce même monde étrange
Cette page n'est plus mise à jour
depuis août 2001
Taijiquan style Haking (dot com)
Sasak style Haking (dot com)
Le Match Kitetoa versus
Ugly Discoursmarketing
It's a funky job.
But Kitetoa's digital clone
does it...
Do you know info-hack
Kung-Fu?
La hotte du Kitetopapanoël
Ze Mega Kite-Teuf!
La fête de l'été de Kitetoa...
Les sites les plus nazes
de l'été 2000
La Loi de 78 impose
aux entreprises de protéger
les bases de données qu'elles
constituent
...
Vous imaginez bien que l'histoire de Loft Story ne nous a pas échappé. Même si nous sommes restés très discrets jusqu'ici. Oui, oui, il y a un programme qui déchaîne les passions, divise la France en plusieurs camps. Pour ou contre Loft Story?

Hé, hé... Pour faire durer un peu le suspens, on ne dira pas si on est pour ou contre le programme. En revanche on va vous parler du site Web.

MrTordu s'est fendu d'un premier changement de page d'accueil du site de Loft Story samedi 28 avril.

Pour des raisons variées, nous n'avions pas jugé utile d'en parler ici.

Un petit détail nous pousse aujourd'hui à commenter ce hack. Que le site de LoftSotory soit hacké nous laisse froids. Bon, si, ça nous amuse. Mais ce qui nous intéresse, c'est qui héberge ce serveur et comment réagissent les responsables de M6.

Encore un site hébergé par Atos qui fait preuve d'une install très sûre...

Souvenez-vous... Dans les premiers papiers du dossier sur le monde fou, fou, fou, des admins, nous vous avions expliqué comment les SSII vendent généralement -en matière d'Internet- des produits merdiques à des clients qui n'y connaissent rien. Le tout pour la modique somme de... Très cher. Trop cher. Quant à la sécurité... C'est un module qui n'est pas souvent inscrit dans les plans car cela rajoute des zéros en bas de la facture.

Atos est une SSII habituée des e-colonnes de Kitetoa. Sa plus belle bourde concerne sans aucun doute la diffusion sur le Net de plus d'une dizaine de milliers de logins et de mots de passe d'une grande banque en ligne. Tant pis pour les clients. Car si nous avons trouvé ce nid à mots de passe (le tout en clair bien entendu), d'autres l'ont sûrement trouvé avant nous. Qu'en font-ils, qu'en ont-ils fait? Mystère. Et, encore une fois, tant pis pour les clients. C'est tout de même un peu plus grave et plus inquiétant que le non-événement de la fraude à la carte bancaire. Non? Avis aux nullissimes auteurs du dossier dans NewBiz sur les nouveaux pirates du e-techno-monde. Mais on s'égare... Bah...

Secure à 99,99%

Le hack du site Loft Story n'est pas passé inaperçu. Même Canal+ en a parlé. C'est dire. Pour une fois ils n'ont pas fait appel aux services de Zataz et n'ont visiblement pas favorisé l'arrestation d'un gamin (private joke). Revenons à nos moutons. Les journalistes ont interrogé les responsables de M6. A la radio, dans la e-presse... L'idée était de savoir comment le hack avait eu lieu et ce qu"ils comptaient faire pour améliorer tout ça...

Réponse -en substance- des têtes pensantes (vraiment?) de M6: Il y avait un site qui était en montée en charge. On ne peut pas garantir une sécurité totale. Voilà, il y a eu un hack, mais nous avons pris toutes les dispositions pour que ça n'arrive plus. Maintenant on a atteint un niveau de sécurité proche de 99,99% et il y a des équipes de surveillance 24/24, 7 jours sur 7.

C'est pas beau ça? Atos a même déclenché un audit sécurité en interne. Woah... On est pas arrivés. Ils vont communiquer le résultat de leur audit? Parce que nous, ça nous ferait sans doute pisser de rire pendant au moins 6 mois. Alors comme ont dit qu'une minute de rire c'est comme une bon gros steak...

Tellement 99,99%, tellement audité le serveur, que samedi 5 mai, le site était à nouveau modifié.

Tentons une petite minute de réflexion. Comme d'habitude, il est difficile de dire ce qui s'est passé en interne puisque nous on est dehors... Pourtant, un rien de logique peut amener des conclusions marrantes.

Samedi 28 avril, le site est hacké. Si l'on en croit les responsables de M6, un audit interne de Atos est lancé et le site est sécurisé à hauteur de 99,99%. Manque de bol, mercredi 2 mai les journalistes de Canal Plus font remarquer que la page piratée se trouve toujours dans la racine même du serveur sous un autre nom. Marrant non? Cela signifie en gros que les petits malins d'Atos, ces pros des technologies Internet, on lancé un audit pour comprendre ce qui leur était arrivé le 28, qu'ils n'ont rien compris et qu'ils ont relancé le site sans même voir qu'une page de plus se trouvait dans la racine du site. Mais peut-être n'était-elle pas là à cet instant précis. Qui sait. Bref, ils ont relancé le site sans avoir compris ce qui leur était arrivé. Ils ont mis, nous dit-on une équipe de surveillance et d'astreinte 24h/24h et 7j/7j. Bilan des courses, le site a de nouveau été hacké samedi. Ce qui confirme pour ceux qui en douteraient encore, que les gros malins d'Atos n'ont toujours pas compris comment cela leur était arrivé.

A propos, vous savez quel argument ressort la direction de M6? Je vous le donne en mille... Chez Atos, ils hébergent des applications bancaires donc, c'est sécurisé. Tu as raison Jason! La preuve...

D'ailleurs, au moment où Atos avait perdu son pauvre nom de domaine www.sips-atos.com il était apparu que le site en question était sujet au bug Unicode. Scenario catastrophe: un pirate monte une backdoor, un sniffer sur cette machine là... Je ne veux même pas savoir ce que cela impliquerait. Il leur avait fallu plusieurs jours pour sécuriser ce problème ultra-connu. Ont-ils passé en revue le dernier bug découvert par l'équipe de eEye? Qui sait... En voilà de la bonne application bancaire ultra-sécurisée de mes fesses...

Pour revenir aux dirigeants d'M6 qui se sont brillamment exprimés sur cette histoire, on notera leur connaissance pointue du dossier (même nous on le connaît mieux...), leur compréhension poussée des enjeux de sécurité, leur énorme capacité à avaler les couleuvres de Atos (pourtant leur fournisseur) et leur discours péremptoires qui ne résistent pas une minute à l'épreuve de la réalité.

Et cette réalité, quelle est-elle?

Elle est simple. Le e-monde est insecure. Par nature. Aller faire du business dans le e-monde rend les entreprises insecure. Et les dégés auront beau pérorer et jouer aux premiers de la classe, ils seront toujours -et leur e-business aussi- plus faibles qu'une mouche dans ce monde là.

Il vaut mieux, en tout, rechercher l'humilité car elle éclaire ensuite notre chemin vers la connaissance.

Comme dit l'autre: "Pomme de terre inerte dans un champ, ni sang ni nerfs, ni pensée, ni sentiment, bouddha au rabais, nirvana d'occasion..."

Kitetoa

 

Liens de navigation

Naviguer, lire....

Page d'accueil

Nouveautés

Le Sommaire
de
Kitetoa

(orientation...)

Communiquer...

Le Forum
Kitetoa-blah-blah

Nous écrire

Les mailing-lists

Les stats du serveur

Qui sommes-nous?

Les rubriques!

Les livres publiés par Kitetoa

Les interviews

Kit'Investisseurs

Fonds d'écran et autres trucs

Les rubriques!
(suite)

KitEcout'

KessTaVu?-KiteToile

Voyages

la malle de Kitetoa
(vieilleries du site)

Les dossiers

Le monde fou des Admins

Tati versus Kitetoa

Tegam versus Guillermito

Malade mental...

Qui est Jean-Paul Ney,
condamné pour
menaces de mort
réitérées contre Kitetoa?

Le texte de la condamnation
de Jean-Paul Ney
(résumé html)
(complet pdf)

Malade mental, bis repetita

Jean-Paul Ney condamné
pour diffamation
à l'encontre du webmaster
de Kitetoa.com

Condamnation de Jean-Paul Ney
pour diffamation (pdf)

D'autres choses...

Aporismes.com

Statisticator

L'association Kite-Aide

Rechercher...

Rechercher
sur le site

et sur le Net...

Jean-Paul Ney

Jean-Paul Ney