Axipub et sa gadgetophrase...
| Récapitulatif
des papiers sur le monde étrange des administrateurs réseau et systèmes |
| Taijiquan style Haking (dot com) |
| Sasak style Haking (dot com) |
| Le Match Kitetoa versus Ugly Discoursmarketing |
| It's a funky job. But Kitetoa's digital clone does it... |
| Do you know info-hack Kung-Fu? |
| La hotte du Kitetopapanoël |
| Ze Mega
Kite-Teuf! La fête de l'été de Kitetoa... Les sites les plus nazes de l'été 2000 |
| La
Loi de 78 impose aux entreprises de protéger les bases de données qu'elles constituent... |
Nous avions interrogé le responsable d'Axipub sur les problèmes répétés de ses serveurs. La mauvaise protection des données personnelles collectées à l'occasion d'un spam pour des machines à café, puis d'un autre visant à nous vendre Nicolas Sarkozy nous avait intrigués. Toutes nos questions sont restées sans réponses.
Toutefois, nous avons eu un début de gadgetophrase. Nous attendions un mail de Philippe Gueniche avec des réponses, mais il n'est jamais venu. Nous vous livrons donc sa gadgetophrase: « En effet nous avions modifié la sécurité dune partie de nos serveurs d'envois par l'acquisition d'un nouveau firewall qui nous a posé les"pires problèmes du monde " mais a aucun moment les informations confidentielles n'étaient sur les "machines d'envois" en effet elle contenait uniquement la base de "Bonces" qui sont les emails qui ne répondent plus. »
Décortiquons cela.
1) Le firewall acheté par Axipub a fait en sorte d'afficher en lieu et place d'une page d'accueil le contenu des répertoires du serveur. Des fichiers de configuration étaient accessibles avec un simple navigateur, offrant au visiteur les logins et les mots de passe des bases de données de cette entreprise. C'est tout au moins ce que l'on pouvait comprendre en étant ledit visiteur et en étant extérieur à l'entreprise. C'est fou ce que savent faire les firewalls de nos jours.
2) La liste des gens qui se sont désabonnés ou qui ont renvoyé un message d'erreur n'est pas un contenu confidentiel. Ceux qui ont leur adresse mail dans ce fichier apprécieront
3) Les informations dites confidentielles (probablement les mails des gens destinataires des spams) n'étaient pas accessibles sur ces serveurs avec un simple navigateur. Hum... Vu de l'extérieur, et sans être un expert en sécurité informatique, mon petit doigt m'a alerté sur le fait qu'un script visant à exclure d'une base une liste de mails et qui contiendrait l'adresse IP où cette base est accessible, ainsi que le port de communication sur lequel elle répond, et, accessoirement le login et le mot de passe, devrait permettre de trouver lesdites informations confidentielles. Nous en convenons, il s'agirait là d'un piratage. Nous n'avons donc pas testé.
Philippe Gueniche est également responsable du site Poplist.fr. Encore une fois, nous ne sommes pas experts en sécurité informatique, loin de là, mais espérons que ce site qui réunit 15.371.925 utilisateurs répartis sur 91.486 listes (dixit la pub) est bien sécurisé. Même si les « données confidentielles » ne sont pas « sur les machines d'envoi »... La version de PHPMyAdmin qui se trouve (accessible, dieu sait pourquoi) sur le site est plutôt récente. Mais dieu (encore lui...) sait ce qu'il est possible de faire dans le monde sombre des terroristes informatiques (comme dirait l'autre).
