jeudi 24 septembre 2009

Ma vision sur l'affaire Zataz

J'imagine que les gens qui lisent ce blog savent que Zataz est en grand danger. (c'est une manière de reprendre sa phrase disant qu'il en a "plein le cul"). On peut ne carrément pas aimer zataz, il n'empêche que son histoire est quand même pas super amusante pour lui.

On pourrait se demander comment se serait déroulé un procès opposant la société accusatrice, à un client mécontent de voir ses données personnelles accessibles sur Internet. Dans mes souvenirs, la société peut effectivement être poursuivie pour non sécurisation de données personnelles (la CNIL est là pour ça après tout). Puis il y a quelques années, Kitetoa -vs- TATI avait donné un grand coup de pied là dedans.

Revenons à Zataz. Un des bugs de cette affaire, c'est qu'on reproche à Damien Bancal d'avoir hacké le système, et d'avoir utilisé un moteur de recherche particulier pour ça. Heu, soit. Mais quel moteur ? Parce que Google peut très bien servir à trouver des données sensibles sur internet. Le site de Johnny Long en est la preuve. Des moteurs de recherche FTP existent aussi.
Si maintenant il suffit d'utiliser Google pour être poursuivi et accusé de "hacking", on risque de ne plus trop avancer dans notre chère société. Bon, ensuite les exemples donnés sur le site de Johnny nécessitent de faire des recherches avec des mots clés bien précis. Mais il peut très bien arriver que des données se retrouvent sur internet alors qu'elles ne le devraient pas et/ou qu'elles soient indexées par un moteur de recherche alors qu'elles ne le devraient pas (ensuite, ceux pour qui sécuriser ces données consiste à avoir un robots.txt empechant les moteurs de les référencer, je crois que même Darwin ne les avait pas prévus dans sa théorie de l'évolution)
Un autre truc intéressant dans cette affaire (et je crois que c'est surtout ça l'élément central), c'est la mauvaise foi de la société. Dans une des ordonances de référé (disponible sur internet), on peut lire le passage suivant:
Elle conteste le fait que la simple utilisation d’un compte d’utilisateur "anonymous" a pu être utilisé pour accéder au serveur, puisque celui-ci a su écarter un grand nombre de tentative d’accès par ce moyen, et soutient que l’analyse des fichiers "logs" révèle que d’autres manipulations que la simple utilisation du moteur cité ont été nécessaires ; elle ne veut pour preuve le fait qu’une tentative de cet ordre ayant échoué le 28 septembre 2008, c’est par l’utilisation du mot de passe correspondant à l’adresse électronique du navigateur que le premier accès frauduleux a été possible le 29 septembre.
Heu ok. Alors on me reprochera peut-être mon parcours littéraire, et le fait que j'aime parfois un peu jouer sur les mots, mais je vais quand même me lancer, on sait jamais, des gens pourraient être d'accord avec mon interprétation (et on ira monter une secte):
- il y avait bien un accès "anonymous", puisque celui ci a déjà, par le passé, déjoué des tentatives d'accès.
Ouais, cool. Le truc c'est que je ne vois absolument pas comment il a pu déjouer des tentatives d'accès. On sait qu'on parle de ftp, vu que c'est ce serveur ftp contenant des données sensibles qui est au centre de ce bordel (cf. ordonance citée ci dessus). Lisons donc la RFC dédiée au "FTP Anonyme" (anonymous ftp, en anglais):
   Traditionally, this special anonymous user account accepts any string
   as a password, although it is common to use either the password
"guest" or one's electronic mail (e-mail) address.  Some archive
   sites now explicitly ask for the user's e-mail address and will not
   allow login with the "guest" password.  Providing an e-mail address
is a courtesy that allows archive site operators to get some idea of
who is using their services.
Bon, donc en gros, n'importe quelle chaine de caractères (string) peut faire office de mot de passe pur faire du ftp anonyme, mais certains serveurs peuvent refuser la connexion anonyme si le mot de passe est "guest". Bon, pour ce détail de "guest" je ne connaissais pas, je l'avoue. Quand je fais du ftp anonyme, je mets un mot de passe bidon en général, "a" dans cet exemple:
Connected to ftp.ig-iit.com.
220 (vsFTPd 2.1.0)
Name (ftp.epitech.net:meik): anonymous
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
Ok on voit pas que je tape le mot de passe "a", mais vous n'avez qu'à me croire, ou faire le test vous mêmes :p

Un autre point à soulever, c'est que le moteur de recherche qui a indexé le contenu du serveur ftp a du laisser des traces quelque part dans les logs de connexion. Et au passage, on apprend que ne pas utiliser google est un comportement déviant:
S’appuyant ensuite sur un rapport complémentaire en date du 13 janvier 2009 de l’expert, elle fait valoir que le moteur de recherche évoqué n’est pas un moteur "grand public", et relève que Damien B. prétend n’avoir utilisé le navigateur internet qu’après utilisation de ce moteur professionnel, caractérisant la réalisation préalable d’actes préparatoires à la recherche délibérée de failles de sécurité, et à son sens le caractère frauduleux de l’accès.
Eh ouais. Si vous n'utilisez pas Google ou Yahoo, vous êtes forcément un gros hacker. Pensez-donc, si archie était toujours utilisé (qui l'utilise encore, sérieusement ?), on vous enverrait bouffer des oranges à Fleury-Merogis.
Elle réfute au total la prétention suivant laquelle le serveur aurait été d’accès totalement libre, et les données rendues disponibles grâce à un simple clic de souris, et soutient que la remise en ligne de l’article ne saurait être autorisée.
C'est assez ambigu tout ça. Mais en fait ça nous mène au vrai problème: la mauvaise foi des plaignants. Ils soutiennent qu'un accès FTP anonyme ne peut pas permettre un accès à leur serveur, tel que reproché. Il se trouve que des documentations sur des standards de l'informatique depuis 40 ans expliquent en toutes lettres que non, un accès FTP anonyme permet bien ce type d'accès. Mais allez expliquer ça à un juge...après tout, "anonymous" a bien besoin d'un mot de passe, même si celui ci peut être n'importe quel mot. Donc de ce point de vue là, pour un juge, c'est peut-être un peu flou.
Reste le problème du moteur de recherche "pas grand public". On considère quand, qu'un moteur de recherche n'est pas grand public ? Et quel aurait été l'argument si le fichier avait été référencé par Google, et trouvé via une des "recettes" de Johnny Long ? Parce que Google est clairement LE moteur de recherche grand public.

Finalement, quand je vois que la mauvaise foi l'emporte sur la réalité, je me demande comment faire confiance à la justice.
Heureusement, voici cette video:

1 commentaire:

Dodot a dit…

Cette affaire est vraiment déroutante. Le juge devrait se faire assister de personnes connaissant un peu l'informatique, le non-lieu aurait déjà été prononcé ! Effrayant.