Rencontre avec… Kitetoa
Ils ont défrayé la chronique il y a quelques mois avec l’Affaire Tati, et ils n’en demandaient pas tant ! Pourquoi ? Parce qu’entre autres choses, les webmestres de Kitetoa s’amusent à tester, gentiment, les failles de sécurité les plus connues sur différents serveurs de diverses institutions… avec succès.
publient sur Kitetoa.com des papiers sur tous les
sujets imaginables, du commentaire de film ou de
musique au papier politique en passant par les
compte rendus de voyages ou des papiers sur la
sécurité informatique (ou plutôt, comme le disent ses rédacteurs, l’insécurité
informatique). C’est ce dernier volet de leur
activité qui a retenu l’attention de la presse et
les a fait connaître. Le webmestre de Kitetoa a accepté d’évoquer en notre compagnie cette “affaire Tati” et le monde de la sécurité informatique.
Kitetoa : Nous avions trouvé un défaut d’installation chez
Tati. Nous leur avions signalé ce problème qui
affectait le serveur web et permettait à n’importe
qui d’en afficher tout le contenu sur une page
html. Mais personne n’a jugé utile de réparer. Si
bien qu’un jour, la base de données dans laquelle
Tati stockait les informations concernant ses
visiteurs est devenu téléchargeable d’un simple
clici de souris, avec un bête navigateur. Nous
avons écrit un papier sur ce sujet. Quelques temps
plus tard, le magazine Newbiz a fait un article à
partir de cette information, mais avec un angle
idiot. Bilan des courses, le patron de Tati,
Fabien Ouaki a décidé de nous faire un procès pour
piratage informatique. Dans son esprit,
probablement, si l’on accède à la base de données,
c’est que l’on pirate le site. Mais en fait, c’est
que ses prestataires n’avaient pas installé son
serveur dans les règles de l’art, comme disent les
consultants. Or la loi de 78 impose aux
entreprises qui collectent des données
personnelles de les protéger. Les sanctions sont
plus importantes que pour quelqu’un qui piraterait
un site. Or, Tati était très loin d’avoir fait le
nécessaire pour sécuriser les données personnelles
qu’elle récoltait. Bref. J’ai perdu en première
instance (même si Tati a été déboutée) mais le
Parquet a fait appel de cette décision pour
obtenir une relaxe. J’ai été relaxé en appel.
–L’affaire Tati contre Kitetoa : historique complet
MacPlus : Quels sont les buts et les raisons de votre implication
dans la “traque” de failles de sécurité, et la
façon dont vous procédez ?
K : C’est un hasard récurent.
Nous connaissons quelques défauts de paramétrage
de serveurs. Cela prend deux seconde de vérifier
avec un navigateur si les données personnelles
stockées sur un serveur sont bien protégées ou
pas. Un site qui prétend être au top de la
sécurité? On regardera plus qu’un site qui ne fait
pas sa pub sur ce terrain…
MP :Quelles sont selon vous les causes de tous
ces “trous” de sécurité sur les serveurs : les
administrateurs ne sont pas assez paranos ? Les
responsables n’attirent pas l’attention des
admins sur l’importance et la confidentialité
des données ? Tout le monde s’en contrefiche ?
K : Un peu de tout ça.
Mais il faut garder quelque chose à l’esprit. Ce
que nous trouvons, sont des défauts triviaux
concernant des failles connues depuis des années.
Nous ne sommes pas des techniciens. Alors imaginez
un peu ce à quoi ressemble vraiment le Net en
matière de sécurité. Nous avons épinglé plus de
200 grandes entreprises. Vous imaginez combien de
boites ont tout leur système d’information ouvert
à tous les vents pour de vrais pirates qui ont,
eux, des connaissances techniques?
MP : Ce que vous essayez de prouver, en fait, c’est qu’une partie de ceux qui
font de “la sécurité de leurs serveurs” un argument de vente sont des
charlatans ?
K : On peut dire ça comme ça. Ce que l’on a démontré plus de 200 fois ([voir ici->
http://www.kitetoa.com/Pages/Textes/Les_Dossiers/Admins/Admin3/r3capitu1atiffadminszhtm.shtml]),
c’est que ceux qui ont comme travail ou comme obligation de bien sécuriser des serveurs, pour
beacoup, ne le font pas, ou très mal. Si l’on devait être très terre à terre, on dirait que le but
premier des entreprises, quelles qu’elles soient, n’est pas de sécuriser des serveurs, mais de
gagner de l’argent. Or si la sécurité coûte cher, qu’elle ne produit aucun bénéfice (lisible dans
une ligne du bilan), il y a peu de chances pour que cela soit une priorité.
MP : Quand vous signalez une faille à une entreprise, quelle est en général sa réaction ? Remerciements ? Indifférence ? Agacement ? Et les corrigent-elles ?
K : Tout est envisageable. Mais la plupart du temps, les gens ne répondent pas. Ils corrigent presque
toujours.
MP : On parle beaucoup de sécurité à propos d’Internet. Mais finalement,
est-ce que nos données personnelles, ou les données stratégiques d’une
entreprise, sont moins en sécurité sur un serveur même mal protégé, que dans
une mallette ou dans un classeur ? Bref, est-ce qu’on ne sombre pas tous un
peu dans la parano ?
K : Si.
Mais il faut comprendre deux choses:
* la numérisation des données et leur présence sur un réseau facilite leur “vol”
*les entreprises oublient que leur appareil de production est une somme des usines et autres
forces de travail et non pas leur “système d’information”. Si véritablement elles pensent que leur
système d’information est plus important que leurs usines et leurs employés, alors, ils leur faut le
protéger en conséquence. Car celui-ci est bien plus vulnérable que les usines ou que les salariés.
MP : Quels conseils donneriez-vous à l’utilisateur pour se protéger, aussi bien de l'”espionnage” de son ordinateur que des renseignements sur lui qui trainent sur le réseau?
K : Je pense que ce qui doit rester confidentiel ne doit pas être connecté à Internet.
Et je recommande aux gens qui sont intéressés par la protection de leur informations personnelles , de ne pas en donner, sauf quand ils ne peuvent pas faire autrement.
MP : Nos données privées sont parfois accessibles à tous vents comme l’a
prouvée l’affaire Tati. Mais on se rend compte que, depuis notre ordinateur
personnel, des masses d’informations privées peuvent être envoyées. On ne
parle même pas de Windows, qui passe son temps à “balancer” de l’info sur
les serveurs de Microsoft, mais aujourd’hui le moindre shareware est
susceptible de communiquer ce que bon lui semble à un serveur central .
Est-ce que le vrai risque de l’informatique connectée, ce n’est pas que
l’ordinateur personnel – et ce qu’il contient – ne soit plus un espace privé ? (ouf…)
K : (Silence) Cela fait bien longtemps qu’il ne l’est plus… :-))
