mars 18th, 2011

Les Anonymes contre Bank of America, Quai d’Orsay, Health Net/IBM

Posté on 18 Mar 2011 at 1:50

Une partie de la correspondance échangée entre une société d’assurance-crédit et Bank of America a été volée par des anonymes, puis diffusée sur différents canaux de diffusion public. Les courriels de l’entreprise ciblée, Balboa Insurance, dévoileraient des irrégularités commises par la société afin d’accélérer les procédures de saisie-expulsion. Ces saisies concerneraient des dossiers provenant des affaires anciennement traitées par IndyMac et Aurora Loan Services, deux grands cabinets de prêt hypothécaires ayant fait faillite. IndyMac était un spécialiste des opérations de prêts usuriers dont le dépôt de bilan remonte avant la crise des subprimes. Il avait fait l’objet de différentes accusation pour pratiques frauduleuses, usure, et avait été poursuivi en « class action » par des associations de consommateurs. Aurora était une filiale du défunt Lehman Brothers.

Bank of America, par la voix de la BBC Online notamment, dément toute pratique frauduleuse et considère les accusations des anonymes comme étant « extravagantes ». Du côté des anonymes, l’on sous-entend que cette première fuite d’information pourrait être suivie d’autres vagues de diffusion de données… menace qu’avait déjà proféré Julian Assange, fondateur de Wikileaks peu de temps avant son arrestation, et qui n’a pas été mise à exécution. S’agit-il là des mêmes documents ? Pour l’heure, il y a considérablement moins d’information dans les « révélations » des anonymes que dans un des films de Michael Moore.

Sur le thème de la fuite de données, continuons avec « l’affaire du siècle », la fuite de données qui aurait fait trembler le Quai d’Orsay (0,5 sur l’échelle de Richter : la publication d’un appel d’offre public relativement abstrus). Cedric Blancher revient sur ce ténébreux scandale et décortique… les mécanismes informatiques qui permettent à nos fonctionnaires de transformer un document classé « confidentiel » en un formulaire « public », par simple masquage au noir des parties sensibles. Mais contrairement à ce qui se pratique sur Cryptome (qui numérise des documents « papier » déjà expurgés par un véritable feutre indélébile) nos doctes Serviteurs de l’Etat persistent à effectuer un « raturage informatique », qui ne masque rien si l’on connaît un tant soit peu la structure du format de fichier PDF.

Si les documents publiés aux USA sur Cryptome en vertu du « freedom of information act » sont dévoilés avec une attention soigneuse, ce n’est pas le cas des fichiers de Health Net, un fournisseur de services sous-traités spécialisé dans le traitement de dossiers d’assurance médicale aux Etats-Unis. Cette fois, nous apprend un communiqué de l’entreprise, ce sont 1,9 million d’identités qui auraient disparu. Noms, adresses, informations médicales, peut-être même informations bancaires ou financières… La faute à quelques disques durs baladeurs dont on ne retrouverait pas la trace, et qui, en toute logique, auraient dû se trouver quelque part dans un datacenter géré par IBM. L’alerte a été donnée par les techniciens de Big Blue. Généralement, ce genre de perte accidentelle ne débouche qu’exceptionnellement sur des usurpations d’identité, mais les obligations d’avertissement auprès de chaque victime potentielle et l’impact à l’image de marque coûtent relativement cher à l’entreprise fautive.

Devenir spam-king en une leçon

Posté on 18 Mar 2011 at 1:46

Social engineering pour les nuls ou, sur la liste FD, comment pirater des comptes Twitter à la pelle à l’aide d’un script minimaliste. Un mécanisme sans grande imagination qui peut être étendu à la plupart des applications web intégrant une fonction d’initialisation du mot de passe. Dans certains cas, un simple Captcha peut être utile… ou une « question secrète » réellement secrète.

En Bref …

Posté on 18 Mar 2011 at 2:37

Quelques jours après l’enterrement « officiel » d’I.E. 6, voici que paraît Internet Explorer 9 : nouvelle interface, nouvelles fonctions d’optimisation… et un casse-tête supplémentaire pour les RSSI et responsables de déploiement

En Bref …

Posté on 18 Mar 2011 at 12:08

Insomniack 2011 vu par ses organisateurs, ses participants et intervenants : Bruno Kerouanton, Pascal Junod et surtout le compte rendu très complet d’Emilien Giraud

En Bref …

Posté on 18 Mar 2011 at 12:04

Nouvelle édition de Metasploit, 3.6, de disponible pour toutes les versions (pro, express et framework). Entre autres perfectionnements, un nouveau crible de conformité PCI

Publicité

MORE_POSTS

Archives

mars 2011
lun mar mer jeu ven sam dim
« Fév   Avr »
 123456
78910111213
14151617181920
21222324252627
28293031