Back to business
L’actualité de la semaine du 6 février, en résumé !
MacPlus vous synthétise l’actualité Mac de la semaine, pour être sûr de ne rien avoir oublié ! Résumé de la semaine du 6 février 2012.
Lire la suite
France : Apple durablement dans le Top 5 ?
La Pomme n’est plus très loin de parts de marché à 2 chiffres
Ce que Tim Cook appelle “le momentum” d’Apple, c’est-à-dire l’impulsion, n’en finit pas trimestre après trimestre : le californien progresse encore en Europe sur un marché qui continue de perdre de la (...)
Lire la suite
Accueil du site > Le mag' > Mac & Cie > Rencontre avec... Kitetoa
Ils ont défrayé la chronique il y a quelques mois avec l’Affaire Tati, et ils n’en demandaient pas tant ! Pourquoi ? Parce qu’entre autres choses, les webmestres de Kitetoa s’amusent à tester, gentiment, les failles de sécurité les plus connues sur différents serveurs de diverses institutions... avec succès.
Kitetoa est né en 1997. C’est un groupe d’amis qui publient sur Kitetoa.com des papiers sur tous les sujets imaginables, du commentaire de film ou de musique au papier politique en passant par les compte rendus de voyages ou des papiers sur la sécurité informatique (ou plutôt, comme le disent ses rédacteurs, l’insécurité informatique). C’est ce dernier volet de leur activité qui a retenu l’attention de la presse et les a fait connaître. Le webmestre de Kitetoa a accepté d’évoquer en notre compagnie cette "affaire Tati" et le monde de la sécurité informatique.
Kitetoa : Nous avions trouvé un défaut d’installation chez Tati. Nous leur avions signalé ce problème qui affectait le serveur web et permettait à n’importe qui d’en afficher tout le contenu sur une page html. Mais personne n’a jugé utile de réparer. Si bien qu’un jour, la base de données dans laquelle Tati stockait les informations concernant ses visiteurs est devenu téléchargeable d’un simple clici de souris, avec un bête navigateur. Nous avons écrit un papier sur ce sujet. Quelques temps plus tard, le magazine Newbiz a fait un article à partir de cette information, mais avec un angle idiot. Bilan des courses, le patron de Tati, Fabien Ouaki a décidé de nous faire un procès pour piratage informatique. Dans son esprit, probablement, si l’on accède à la base de données, c’est que l’on pirate le site. Mais en fait, c’est que ses prestataires n’avaient pas installé son serveur dans les règles de l’art, comme disent les consultants. Or la loi de 78 impose aux entreprises qui collectent des données personnelles de les protéger. Les sanctions sont plus importantes que pour quelqu’un qui piraterait un site. Or, Tati était très loin d’avoir fait le nécessaire pour sécuriser les données personnelles qu’elle récoltait. Bref. J’ai perdu en première instance (même si Tati a été déboutée) mais le Parquet a fait appel de cette décision pour obtenir une relaxe. J’ai été relaxé en appel.
-L’affaire Tati contre Kitetoa : historique complet
MacPlus : Quels sont les buts et les raisons de votre implication dans la "traque" de failles de sécurité, et la façon dont vous procédez ?
K : C’est un hasard récurent.
Nous connaissons quelques défauts de paramétrage
de serveurs. Cela prend deux seconde de vérifier
avec un navigateur si les données personnelles
stockées sur un serveur sont bien protégées ou
pas. Un site qui prétend être au top de la
sécurité ? On regardera plus qu’un site qui ne fait
pas sa pub sur ce terrain...
MP :Quelles sont selon vous les causes de tous ces "trous" de sécurité sur les serveurs : les administrateurs ne sont pas assez paranos ? Les responsables n’attirent pas l’attention des admins sur l’importance et la confidentialité des données ? Tout le monde s’en contrefiche ?
K : Un peu de tout ça.
Mais il faut garder quelque chose à l’esprit. Ce
que nous trouvons, sont des défauts triviaux
concernant des failles connues depuis des années.
Nous ne sommes pas des techniciens. Alors imaginez
un peu ce à quoi ressemble vraiment le Net en
matière de sécurité. Nous avons épinglé plus de
200 grandes entreprises. Vous imaginez combien de
boites ont tout leur système d’information ouvert
à tous les vents pour de vrais pirates qui ont,
eux, des connaissances techniques ?
MP : Ce que vous essayez de prouver, en fait, c’est qu’une partie de ceux qui font de "la sécurité de leurs serveurs" un argument de vente sont des charlatans ?
K : On peut dire ça comme ça. Ce que l’on a démontré plus de 200 fois (voir ici), c’est que ceux qui ont comme travail ou comme obligation de bien sécuriser des serveurs, pour beacoup, ne le font pas, ou très mal. Si l’on devait être très terre à terre, on dirait que le but premier des entreprises, quelles qu’elles soient, n’est pas de sécuriser des serveurs, mais de gagner de l’argent. Or si la sécurité coûte cher, qu’elle ne produit aucun bénéfice (lisible dans une ligne du bilan), il y a peu de chances pour que cela soit une priorité.
MP : Quand vous signalez une faille à une entreprise, quelle est en général sa réaction ? Remerciements ? Indifférence ? Agacement ? Et les corrigent-elles ?
K : Tout est envisageable. Mais la plupart du temps, les gens ne répondent pas. Ils corrigent presque toujours.
MP : On parle beaucoup de sécurité à propos d’Internet. Mais finalement, est-ce que nos données personnelles, ou les données stratégiques d’une entreprise, sont moins en sécurité sur un serveur même mal protégé, que dans une mallette ou dans un classeur ? Bref, est-ce qu’on ne sombre pas tous un peu dans la parano ?
K : Si.
Mais il faut comprendre deux choses :
* la numérisation des données et leur présence sur un réseau facilite leur "vol"
*les entreprises oublient que leur appareil de production est une somme des usines et autres
forces de travail et non pas leur "système d’information". Si véritablement elles pensent que leur
système d’information est plus important que leurs usines et leurs employés, alors, ils leur faut le
protéger en conséquence. Car celui-ci est bien plus vulnérable que les usines ou que les salariés.
MP : Quels conseils donneriez-vous à l’utilisateur pour se protéger, aussi bien de l’"espionnage" de son ordinateur que des renseignements sur lui qui trainent sur le réseau ?
K : Je pense que ce qui doit rester confidentiel ne doit pas être connecté à Internet. Et je recommande aux gens qui sont intéressés par la protection de leur informations personnelles , de ne pas en donner, sauf quand ils ne peuvent pas faire autrement.
MP : Nos données privées sont parfois accessibles à tous vents comme l’a prouvée l’affaire Tati. Mais on se rend compte que, depuis notre ordinateur personnel, des masses d’informations privées peuvent être envoyées. On ne parle même pas de Windows, qui passe son temps à "balancer" de l’info sur les serveurs de Microsoft, mais aujourd’hui le moindre shareware est susceptible de communiquer ce que bon lui semble à un serveur central . Est-ce que le vrai risque de l’informatique connectée, ce n’est pas que l’ordinateur personnel - et ce qu’il contient - ne soit plus un espace privé ? (ouf...)
K : (Silence) Cela fait bien longtemps qu’il ne l’est plus... :-))
Imprimer
La rumeur du moment...
A ne pas rater...
Le résumé de la semaine
L’actualité de la semaine du 2 janvier, en résumé !
Surfez futé
Refurb Store
Vous souhaitez acheter un mac à petit prix ? Aucun doute, le refurb est fait pour vous...
Mac disponibles
-
Back to business
MacPlus vous synthétise l’actualité Mac de la semaine, pour être sûr de ne rien avoir oublié ! Résumé de la semaine du 6 février (...)
-
France : Apple durablement (...)
Ce que Tim Cook appelle “le momentum” d’Apple, c’est-à-dire l’impulsion, n’en finit pas trimestre (...)
-
La pomme et le pipeau
MacPlus vous synthétise l’actualité Mac de la semaine, pour être sûr de ne rien avoir oublié ! Résumé de la semaine du 30 janvier (...)
-
La pomme et le dollar
MacPlus vous synthétise l’actualité Mac de la semaine, pour être sûr de ne rien avoir oublié ! Résumé de la semaine du 23 janvier (...)
-
Interview : Funbridge
Chef de produit chez GoTo Games, Pierre a Dreulle bien voulu répondre aux questions de Macplus à l’occasion du lancement de (...)
-
Ah, la niche !
MacPlus vous synthétise l’actualité Mac de la semaine, pour être sûr de ne rien avoir oublié ! Résumé de la semaine du 16 janvier (...)
-
iBooks Author, le livre scolaire
C’est une pierre de plus pour Apple et son implication dans l’éducation, via le nouveau logiciel iBooks Author qui permet (...)
-
Jeux Mac : la sélection 2011
La fin d’année approche à grand pas. L’occasion pour MacPlus de vous livrer sa sélection des meilleurs jeux sur Mac de (...)
-
On se lève tous pour le Up
Après avoir longtemps donné dans l’oreillette Bluetooth, le fabricant Jawbone a élargi son catalogue avec des enceintes et (...)
-
Un oeil (et une oreille) sur (...)
Après avoir joué les Arlésiennes pendant quelques semaines, iTunes Match a finalement fait son apparition au sein de la version 10.5.1 (...)
-
L’iPhone 4S, en test (...)
Attendu pendant près de 15 mois, le remplaçant de l’iPhone 4 est enfin disponible : cela valait-il la peine d’attendre (...)
-
iOS 5 de A à Z (ou presque)
De l’appareil-photo à Rappels, les nouveautés d’iOS 5 sont nombreuses et variées. MacPlus vous propose d’y jeter un (...)
-
Dossier : Passez la Commande
Passez la commande (50) : MacPort
Pour ce prochain mois, nous allons explorer le portage du monde Linux sous Mac, avec (...)
-
Dossier : Du fun sous les doigts
Du fun sous les doigts
Tous les lundis, retrouvez le résumé de l’actualité des jeux vidéo parue sur (...)
-
Dossier : Zune 2 et ZunePhone
Zune 2.0 : lancement demain (...)
On avait ouï dire que Microsoft allait s’organiser un petit event de derrière (...)
-
Dossier : 7 ans 7 jours
Il y a 7 ans, 7 jours
Il y a 7 ans, 7 jours, c’était…
Le jackpot pour Steve Jobs
Après (...)
-
Dossier : Bouquin
Travailler avec un iPad
Les lecteurs de Macplus connaissent bien notre attachement au blog de Jean-Christophe (...)
-
Dossier : Test Rapido
Test Rapido vidéo : EyeTV
Rien de mieux qu’une vidéo de test pour savoir si une application est (...)
