Serveurs privés et données publiques

Des fuites de données à la SNCB et à la Défense. Erreur humaine sans doute, mais pas seulement. Le risque zéro n’existe pas.

Vos coordonnées et autres informations privées ou professionnelles dont disposent les sociétés commerciales ou non, à des fins marketing ou non, peuvent être rendues publiques à votre insu. L’erreur technique et humaine en est souvent la cause. Un dossier déplacé au mauvais endroit, d’un serveur privé à un serveur public par exemple, suffit à le faire repérer par un puissant moteur de recherche.

« S’il arrive à le référencer grâce à ses algorithmes, un moteur de recherche capable d’indexer une multitude de pages va rendre le fichier accessible à tous ceux qui vont fouiner un peu. On peut ainsi tomber sur un dossier intéressant en tapant un nom au hasard», explique Xavier Bellekens.

Chapeau blanc rémunéré

Doctorant en sécurité informatique, étudiant actuellement en Écosse, le jeune homme est lui-même en recherche régulière de failles informatiques. Une philosophie qui est loin du hacker pirate. C’est plutôt celle des «white hat» ou «chapeau blanc», sorte de Robin des Bois du net.

«On ne se rend compte d’une faille que quand quelqu’un la signale. La plupart des erreurs commises ne portent pas à conséquence, mais devraient être corrigées rapidement. On publie alors gratuitement un patch, une correction pour corriger la malfaçon (noktec.com). On fait cela pour se faire connaître. Pour le challenge et la fierté aussi; Facebook rémunère ces vulnérabilités de serveurs dévoilées.»

Peut-être est-ce le goût du défi qui a motivé Bor de Jonck (dejonck.be); ce jeune Flandrien a mis accidentellement le doigt sur les données de la SNCB et de la Défense.

« Chez Google on peut éventuellement retracer comment il est arrivé sur cette page. Mais ils ne le feront pas.»

Rien à voir semble-t-il avec un hacker fallacieux scannant un serveur dont la sécurité n’aurait pas été mise à jour. Avouer l’erreur et prévenir les utilisateurs semble la meilleure marche à suivre pour les sociétés ou services mis en cause dans pareils cas.

«J’ai un jour trouvé une faille chez Facebook. L’erreur était de type cross site scripting, une balise mal fermée». Une faille qui aurait pu permettre aux bidouilleurs (black hat) mal intentionnés de récupérer certaines données privées d’utilisateurs du réseau social.

Indexé par Google

Croire qu’il existe un superlogiciel qui au départ de votre nom et adresse collecte tout sur vous à travers les serveurs du monde entier (de vos mensurations à vos numéros de carte de crédit), reste improbable. Mais évitez d’utiliser votre nom, adresse, date de naissance et autres infos personnelles là où ce n’est pas indispensable. Au pire, contentez-vous du diminutif de votre nom; vos amis vous reconnaîtront. Quand vous publiez, mesurez-en au préalable l’impact. Ensuite, utilisez des mots de passe différents pour chaque appareil ou application.

« En faisant une recherche sur mon nom, j’ai trouvé une partie de mon adresse sur un site. J’ai contacté le webmaster. La sauvegarde de la base de données qu’il avait mise sur un serveur ne contenait aucun mot de passe, mais une multitude d’infos personnelles. Et il ne s’était pas rendu compte que son fichier était indexé par Google», termine notre informaticien passé maître en sécurité.

Il vous recommande enfin d’utiliser Dashlane. Ce logiciel centralise l’intégralité des identifiants et mots de passe de vos comptes en ligne et les enregistre dans un fichier chiffré. Il permet aussi de générer différents mots de passe pour chaque site web et connecte l’utilisateur automatiquement. Ainsi, ce dernier n’a pas à retenir les différents mots de passe.