Kitetoa
Kitetoa vs Tati : relaxe en appel
Nouveau rebondissement dans l'affaire qui opposait l'animateur du site Kitetoa.com avec l'enseigne Tati. En février 2002, l'animateur de Kitetoa.com, spécialisé dans la révèlation de failles de sécurité sur les sites, avait été condamné à une amende de 1 000 euros avec sursis pour "intrusion et maintien frauduleux dans un système de traitement automatisé de données". Après avoir fait appel, l'animateur a finalement été relaxé le 30 octobre par la cour d'appel de Paris. Les juges ont suivi les réquisitions du procureur général qui selon lesquelles le caractère frauduleux de la manipulation n’avait pas été clairement établi.
Source: Journal du Net (06/11/2002)
La Cour d’appel de Paris déboute Tati dans l’affaire Kitetoa
La cour d’appel de Paris vient de prononcer la relaxe du webmestre de Kitetoa.com, Antoine Champagne.
Celui-ci avait été condamné au février dernier par le tribunal de grande instance de Paris à une amende de 1000 € avec sursis pour "accès frauduleux" au site commercial de Tati. Le commerçant avait porté plainte suite à la révélation, par Antoine Champagne sur Kitetoa.com, d’une faille laissant une porte ouverte aux données nominatives des utilisateurs de Tati.fr. Avant la publication de ces révélations, Antoine Champagne avait pris la peine d’informer Tati et le concepteur du site, Ogilvy Interactive, sans effet.
L’avocat général Etienne Madrange s’est rangé du côté d’Antoine Champagne pour éviter que ne soit instaurée une jurisprudence qui interdiraient à des internautes "certes avisés mais de bonne foi" de découvrir des failles informatiques.
Tati risque aujourd’hui le dépôt d’une plainte pour « non-sécurisation de données nominatives », un délit puni d’un maximum de 5 ans emprisonnement et de 300 000 € d’amende.
Source: Reseaux et Telecoms (06/11/2002)
Le parquet général défend une jurisprudence favorable aux internautes
L'affaire Kitetoa contre Tati SA passait devant la cour d'appel de Paris le 25 septembre. Condamné en première instance pour une intrusion imaginaire, le webmaster du site a été défendu avec vigueur par le ministère public. Verdict le 30 novembre.
«Il semble inenvisageable d'instaurer une jurisprudence répressive dont il résulterait une véritable insécurité permanente, juridique et judiciaire, pour les internautes, certes avisés, mais de bonne foi, qui découvrent les failles de systèmes informatiques manifestement non sécurisés.»
C'est par cette limpide explication que le parquet général de la cour d'appel de Paris, représenté par l'avocat général Etienne Madranges, a souligné pourquoi il fallait relaxer le journaliste qui administre le site internet Kitetoa.com. Ce dernier a été condamné le 13 février 2002 pour un «accès frauduleux» dans la vitrine web du vendeur de prêt-à-porter Tati, laissant apparaître des données privées non protégées de 4000 personnes. Pour le parquet général, conscient qu'une jurisprudence instable pourrait s'instaurer, découvrir une faille de sécurité et la prouver par la suite ne doit pas être assimilé à un acte de piratage informatique. D'où les «réquisitions aux fins de relaxe» du substitut. (Lire l'intégralité des réquisitions.)
Le webmaster de Kitetoa a en effet été condamné par le tribunal de grande instance de Paris «au bénéfice du doute» écrit l'avocat général, puisque le juge a limité la peine à 1000 euros d'amende, alors qu'il risquait jusqu'à un an ferme. Il n'en reste pas moins que le délit est constitué («accès et maintien frauduleux») et qu'il fait donc jurisprudence. Après de mûres réflexions, le parquet général de Paris, qui dispose de deux mois pour faire appel, a déposé son recours le 3 avril dernier.
Dans le rapport de police qui a servi de base à la condamnation, le webmaster était taxé de «pirate» et accusé de «vol de bases de données», alors que la faille du site internet Tati.fr ne nécessitait aucune manipulation autre que celle de cliquer avec son navigateur. Dans ses réquisitions, l'avocat général Madranges y revient allègrement en insistant: «En l'espèce, il apparaît clairement que le journaliste n'a utilisé aucune méthode de piratage. Il n'a pas cherché à "craquer" (...). Il n'est même pas établi qu'il ait cherché à tricher, à utiliser de façon abusive des fonctionnalités d'un logiciel en vente libre. Il a utilisé les fonctionnalités d'origine du logiciel Netscape, qui est, avec Microsoft Internet Explorer, l'un des deux grands logiciels de navigation sur internet, se contentant de cliquer sur les icônes apparaissant sur son écran. Une telle manipulation est accessible à tout internaute averti, non ingénieur, non technicien, non spécialisé, mais qui sait lire un mode d'emploi. Le caractère frauduleux de cette manipulation n'est pas établi par la procédure.»
Nécessité de redéfinir l'infraction d'une base de données?
Et de poursuivre: «Il s'agit en définitive de décider si l'accès par des moyens légaux au contenu d'un système dont on n'est ni le créateur, ni le détenteur ni l'exploitant, dans un but de curiosité, ou dans le souci d'en tester la fiabilité, surtout quand on est journaliste d'investigation, est punissable par la seule conscience que l'on a d'y être parvenu sans piratage, volontairement ou involontairement.»
Le parquet général n'a pas manqué de souligner aussi ce qui ne nous avait pas échappé: la société Tati s'est montrée très négligeante sur la protection des données privées placées sous sa responsabilité, via son prestataire technique, une filiale du géant de la publicité Ogilvy. Jusqu'à cinq ans d'emprisonnement et 300000 euros d'amende: c'est ce que prévoit le code pénal si l'on ne protège pas ses bases de données cachant des données nominatives. «Cette infraction», poursuit le substitut général dans ses réquisitions, est «plus grave que celle reprochée au prévenu». Il s'agit clairement d'une «carence de la société Tati».
Lors de l'audience, l'avocate de Tati, Me Grabli, citée dans un article de l'hebdomadaire Lesechos.net, a reconnu que le journaliste avait fait «un travail de service public (sic) en permettant à 4000 clients de protéger leur vie privée». Mais elle a plaidé «l'interdiction pour tout internaute, et quel qu'en soit le mobile, d'entrer et de séjourner dans un système sans autorisation». Quant au président du tribunal, il s'est interrogé: «N'a-t-on pas le devoir de cesser de se connecter dès lors que l'on a connaissance du contenu des données? Poursuivre la connexion ne revient-il pas à se maintenir dans la base?»
Pour l'avocat général, la réponse est claire: «Lorsqu'une base de données est, par la faute de celui qui l'exploite, en accès libre (...), le seul fait d'en prendre connaissance (...) ne saurait constituer une infraction.» «Il en irait autrement si l'internaute "testeur" forçait un passage, réalisait un accès (...) par une manipulation de piratage nécessairement volontaire, intentionnelle, frauduleuse.»
Verdict de la cour d'appel le 30 novembre.
Source: ZDNet France (10/10/2002)
Coup de théâtre dans l'affaire Kitetoa: le parquet fait appel
Le webmaster du site internet indépendant Kitetoa.com vient d'informer ZDNet d'une nouvelle plutôt rassurante à son égard. Il s'agit d'une notification du procureur général auprès de la cour d'appel de Paris, l'informant que le parquet avait décidé de faire appel du jugement, qui l'a condamné le 13 février.
Le webmaster a été condamné à une amende de 1000 euros avec sursis pour «accès et maintien frauduleux sur un système automatisé de données». En l'occurence, il s'agissait du site de commerce en ligne du fabricant de prêt-à-porter Tati. Pour Kitetoa, infatigable pourfendeur des sites web à la sécurité limitée, c'était là une sérieuse menace à sa liberté d'expression: pour prouver que tel ou tel site recèle d'importantes failles de sécurité, des captures d'écran explicites étaient à chaque fois publiées pour accompagner l'article dénonçant lesdites failles. Kitetoa a toujours travaillé pour la "bonne cause". Sa cible préférée: les vulnérabilités concernant des données informatiques à caractère personnel. Et il a toujours usé d'un simple navigateur, ne cassant aucun mot de passe, sans effraction aucune. Dans ce cas, il s'agissait, selon nos propres conclusions, d'un véritable «délit d'information».
Cette décision du parquet peut paraître surprenante, au mieux cocasse. Car c'est le même parquet (le "ministère public") qui a jugé la plainte de Tati SA recevable et qui a donc accepté son instruction. Mais lors du procès, qui s'est tenu le 23 janvier devant la 13e chambre correctionnelle du tribunal de grande instance de Paris, le substitut du procureur a changé son fusil d'épaule, estimant que le webmaster ne s'était rendu coupable d'aucun «accès frauduleux». Le substitut avait en effet requis la relaxe, demande qui n'a pas été suivie par le juge Noël Miniconi, malgré la grande sollicitude de ce dernier à l'égard du "prévenu".
Tati tenu de protéger ses bases de données
En effet, selon les minutes de ce jugement (publiées par le Forum des droits sur l'internet - les consulter au format PDF), le magistrat n'a pas été tendre pour le plaignant. «La société TATI (...) ne saurait se prévaloir de ses propres carences et négligences (sic) pour arguer d'un prétendu préjudice en réalité subi par les personnes victimes éventuelles de violations de leur vie privée (sic).»
Car comme le rappelle inlassablement Kitetoa lorsqu'il épingle une société, la loi française oblige les détenteurs de bases de données personnelles à les protéger contre tout accès non autorisé. Le code pénal prévoit même une peine de prison de 5 ans maximum et 300 000 euros d'amende... La base de données en question contenant au bas mot 4000 entrées, on peut en effet imaginer le risque d'atteinte au droit des personnes que cette faille de sécurité aurait pu engendrer. Une faille qui a été colmatée grâce à... Kitetoa, qui avait à l'époque (en mai 2000), comme à son habitude, informé le prestataire de Tati, Ogilvy Interactive.
Cette bienveillance lui a même joué des tours. Car le juge Miniconi a trouvé bon de préciser que «si cette obligation incombant à la société TATI n'apparaît pas avoir été respectée en l'espèce, ce non-respect ne constitue en aucun cas une excuse ou un prétexte pour le prévenu d'accéder de manière consciente et délibérée à des données dont la non-protection pouvait être constitutive d'une infraction pénale». Traduction: en sachant qu'il s'agissait de données personnelles, accéder «à plusieurs reprises au fichier litigieux et en le téléchargeant» constituait donc des circonstances aggravantes.
L'appel notifié le 3 avril au webmaster de Kitetoa va donc permettre de clarifier cette affaire. En espérant, pour ce dernier comme pour tout journaliste devant prouver ses affirmations, que le "délit d'information" du premier jugement sera rejeté par la cour d'appel.
Source: ZDNet (04/04/2002)
Kitetoa.com condamné pour piratage informatique
Le site spécialisé dans la détection de failles de sécurité, Kitetoa.com, vient d'être condamné à une amende de 1.000 euros pour "intrusion et maintien frauduleux dans un système de traitement automatisé de données", suite à la plainte déposée par la chaîne de magasins Tati. En effet, en 1999 et 2000, l'équipe de Kitetoa a décelé deux failles de sécurité sur le site Tati.fr et en a avertit les administrateurs du site. Cependant, suite à la divulgation de l'information et à sa circulation dans nombre de journaux, les responsables de la chaîne de magasin ont semble-t-il été agacés par cette mauvaise publicité et ont décidé de porter plainte. Le tribunal de Grande instance de Paris a finalement donné raison à la chaîne de magasins Tati en condamnant le webmaster de Kitetoa.com à une amende de 1000 €. Ce dernier estime « servir d'exemple » dans cette affaire.
Source: Les Infos (22/02/2002)
Kitetoa condamné pour délit d'information sur une faille de sécurité
Le responsable du site Kitetoa.com a été condamné mercredi 13 février à payer 1000 euros d'amende «avec un sursis de cinq ans» par la 17e chambre du tribunal correctionnel de Paris. Cette affaire oppose Kitetoa, une équipe de fouineurs infatiguables en quête de failles de sécurité dans les recoins des sites web publics, à la chaîne de magasins Tati, épinglée en mai 2000 pour avoir laissé en libre accès, à partir de son site Tati.fr, une base de données nominative de plus de 4000 internautes.
Kitetoa condamné, mais Tati débouté
Le verdict est étrangement partagé: condamné pour «accès et maintien frauduleux» sur un système informatique (article 323-1 du code pénal), Kitetoa obtient pourtant... le bénéfice du doute. En effet, de son côté, Tati a été débouté de toutes ses demandes qui comprenaient la publication du jugement dans la presse et 1 euro symbolique de dommages et intérêts. «On peut regretter que le juge n'ait pas été au bout de sa logique et relaxé purement et simplement mon client», explique Olivier Iteanu.
L'avocate de Tati, Me Elizabeth Grabli, a estimé auprès de confrères qu'avec ce jugement «n'importe qui ne peut pas accéder frauduleusement à un système, sous quelque prétexte que ce soit». En l'occurence, le prétexte était d'informer tout simplement le public. Me Grabli, contacté par nos soins, refuse pour l'instant de s'exprimer à nouveau jusqu'à la publication du jugement (d'ici une dizaine de jours au mieux, deux mois au pire).
Antoine Champagne, webmaster et responsable juridique (il est titulaire du nom de domaine Kitetoa.com), également journaliste de profession, n'accepte que de bonne grâce la "clémence" du juge. Car le code pénal précise que s'il y a "accès frauduleux", le tarif est un an de prison et 15000 euros d'amende. «C'est à mon sens un jugement mi-figue, mi-raisin et, dans l'absolu, cela bloque nos actions futures» dit-il. «Un accès et un maintien frauduleux, pour tous ceux qui connaissent un minimum l'informatique, ça revient à casser un mot de passe pour y placer un cheval de Troie...» Il hésite encore à faire appel d'un jugement si mitigé, surtout qu'une autre plainte peut vouloir dire récidive et le sursis saute immédiatement...
Armé d'un simple navigateur
L'histoire débute dès l'année 1999. Antoine Champagne remarque que la vitrine commerciale "Tati.fr" n'est pas suffisamment protégée. Plus précisément, grâce à un simple navigateur - la seule "arme" que Kitetoa utilise pour lever des lièvres -, il est possible d'afficher toute l'arborescence du site et d'accéder librement à une collection de fichiers. La manipulation est simple et s'effectue donc sans forcer la moindre porte.
Champagne envoie alors un email à l'hébergeur de Tati (une filiale du groupe Ogilvy); il ne recevra aucune réponse: premier article de Kitetoa, fin juin 1999. Un an après, il constate que le site n'est toujours pas protégé. Cette fois, sa "base client", c'est-à-dire la liste des données laissées par les internautes visitant le site, est même en libre accès, affirme Kitetoa. Nouvel e-mail d'alerte d'Antoine Champagne au responsable de Tati.fr: l'administrateur en tient compte, remercie même son interlocuteur et corrige le problème: deuxième article de Kitetoa (15 mai 2000), dans lequel l'équipe publie des éléments de preuve. Il s'agit de captures d'écran, sans aucune mention permettant à un vrai pirate de les exploiter.
Quelques mois plus tard, le mensuel Newbiz popularise ces péripéties et publie une enquête en se basant sur la faille découverte par Kitetoa (article de novembre 2000). Apparemment vexé, le P-DG de Tati Fabien Ouaki dépose alors plainte contre X en janvier 2001. Le parquet ouvrira une information judiciaire, sur la base de la loi Godfrain de 1991 sur les intrusions informatiques. L'accusation semble persuadée que la base a été dérobée par Kitetoa pour qu'elle puisse être ainsi exibée. Alors qu'encore une fois, rien n'a été forcé...
Après six mois d'enquête de la police judiciare, Champagne est convoqué à l'été 2001. L'audience au tribunal de grande instance de Paris a lieu le 23 janvier 2002, et le verdict est cité oralement devant les partis le 13 février. Les motivations écrites du tribunal ne sont pas encore connues; au pire, il faut attendre encore deux mois.
Tati.fr en infraction avec la loi informatique et libertés
«Maintenant, nous avons trois options» reprend Antoine Champagne. «Fermer le site, le céder ou alors agir comme nous n'avons jamais voulu le faire, c'est-à-dire non pas au grand jour, mais dans l'ombre. On ne dira plus "nous avons constaté telle faille...", mais "nous avons reçu un email nous indiquant telle faille, voici nos commentaires"... Bref, ne plus agir en notre nom propre. Mais je pense qu'il faut être transparent et de bonne foi, donc cette dernière solution n'est pas très enviable. J'hésite...»
Inquiétant, pourtant, de condamner l'acte tout en le minimisant. La démarche de Kitetoa n'est pas du tout étrangère à celle d'une personne, journaliste d'investigation ou auteur, qui doit avancer les preuves de ce qu'il avance. Les juges ont déjà inventé le délit de «recel de documents confidentiels», lorsque le Canard Enchaîné avait été condamné pour avoir publié les preuves de ses affirmations sur le salaire de Jacques Calvet, à l'époque patron de PSA (jugement cassé par la suite par la Cour européenne des droits de l'homme). Voilà que le juge de l'affaire Kitetoa-Tati condamne l'acte (montrer le contenu d'une porte mal vérouillée), sans quoi il aurait été impossible d'affirmer que les accès étaient mal protégés.
Pourtant, la loi de 1978 sur l'informatique, les fichiers et les libertés (article 29 - repris dans l'article 226-17 du code pénal) impose aux détenteurs de telles données de les protéger. À quel point? C'est très clair: «Le fait de procéder ou de faire procéder à un traitement automatisé d'informations nominatives, sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et, notamment, empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés, est puni de cinq ans d'emprisonnement et de 2 millions de francs d'amende.»
Le P-DG de Tati, Fabien Ouaki, comme son avocate, n'ont pas encore retourné nos appels pour les entendre sur ce point. Il faudrait, certes, qu'une personne présente dans la base de données se retourne contre Tati pour que ce volet de l'affaire soit éclaici. Tati pourra ensuite se retourner contre son hébergeur, à l'époque une filiale du groupe Ogilvy, pour avoir failli à sa mission. Affaire à suivre...
Source: ZDNet (19/02/2002)
Les poils à gratter du Net
Kitekoa est une association de petits génies informatiques qui passent leur temps à chercher les failles dans les systèmes informatiques.
La tribu des pirates informatiques compte nombre de familles. Certaines se promènent dans le cyberespace la bombe à la main, d'autres baguenaudent ici et là en lâchant des virus au gré de leurs humeurs. D'autres encore guerroient contre tous ceux dont la pratique ne correspond pas à leur vision de la société, et cela fait beaucoup de monde. Intéressons-nous aujourd'hui à une branche cousine, qui agace prodigieusement les administrateurs systèmes tombant dans ses rets : les gros malins de Kitekoa, un groupe de pirates français qui ne cassent rien, ne se réclament d'aucune école et se plaisent à exaspérer les Goliath du réseau.
Ils en ont déjà affiché quelques-uns sur leur tableau de chasse, et se gaussent actuellement en ligne de leur dernière victime : le groupe Vivendi. Le procédé est exaspérant : ces pirates commencent par le plus difficile, en cherchant les « failles de vulnérabilité » dans un site bien en vue ; quand ils les trouvent, ils les analysent, les triturent, les démontrent en les copiant, mettent les pieds dans les portes et entrent partout où c'est interdit. Avec d'autant plus de plaisir quand leur « victime » offre des services d'achat en ligne, assurant ses clients de la sécurité de leurs transactions. Lorsque cette première phase discrète est terminée, ils préviennent les responsables de la sécurité du site concerné, leur expliquent leurs failles et salut, à bientôt ! Généralement, les techniciens pris la main dans le sac affirment que tout cela n'est pas bien grave et assurent qu'ils vont réparer. C'est alors que Kitekoa revient.
En se jouant des nouvelles protections et en ridiculisant sa « victime ». Les techniciens de Vivendi en font actuellement l'expérience : pour n'avoir rien réparé du tout après une première démonstration de leur carence, ils se trouvent aujourd'hui exposés en ligne, humiliés, et pas contents du tout. Cette nouvelle forme d'agit-prop a au moins un mérite : celui de prouver que certains industriels, auxquels la loi fait obligation de protéger les informations fournies par leurs clients, ne le font pas. Il vaut mieux le savoir !
Source: Le Point (29/06/2000)
Failles de sécurité : grande braderie de printemps chez Kitetoa
L'équipe de Kitetoa.com, qui dénonce les sites internet à sécurité limitée, poursuit cette semaine son travail d'éducation (ou de "sape", au choix) en épinglant cinq acteurs, petits et gros, de l'internet hexagonal. La procédure est parfaitement rodée : repérer avec un simple navigateur les "trous" dans les serveurs qui laissent des données confidentielles en libre accès. Et confronter le tout avec le "discours marketing" des victimes. Un match sanguinaire en six rounds...
Le premier round, lundi, concernait Thales, le nouveau nom du groupe français d'électronique de défense Thomson-CSF. « Il faut deux minutes à un internaute lambda pour accéder à la liste des personnes abonnées aux mailing-lists de Thales », explique Kitetoa. Une simple erreur de paramétrage, qui « balance des données personnelles dans la nature ». Une négligence en infraction à la loi de 1978 (dite "informatique et libertés"), imposant aux entreprises de protéger les fichiers nominatifs en les tenant loin des regards non autorisés. Thales a donc des progrès à faire en matière de "tests d'intrusion". Mauvais genre : le groupe a créé fin avril une start-up dont c'est justement la vocation. Bref, pour commencer, Thales Secure Solutions pourrait s'entraîner sur les machines de ses confrères !
Un léger hiatus entre le discours et les actes
Second round : Quelm. Ce fournisseur français de contenus pour sites internet gère les petites annonces de Marieclaire.fr, la vitrine du célèbre mensuel féminin. Or Kitetoa a constaté que les réponses aux annonces de rencontres, sensées être confidentielles, sont accessibles à tous les visiteurs, les coordonnées des intervenants étant même affichées. Plutôt embarrassant !
De plus en plus fort avec Answork, une "place de marché électronique" aux actionnaires prestigieux (BNP Paribas, Crédit Agricole, Société Générale ainsi que Cap Gemini Ernst & Young et France Télécom). Armé d'un simple navigateur, il a fallu moins de 2 minutes, selon l'équipe de Kitetoa, pour accéder à la page où sont stockés "en dur" les mots de passe de la base de données. Et de confronter narquoisement cette faille avec le discours marketing d'Answork : « la sécurisation complète des flux d'informations est une condition indispensable à l'utilisation d'une place de marché ».
Après deux autres exemples presque banals (accès à des numéros de cartes bancaires, notamment), Kitetoa s'en prend au site du fabricant de prêt-à-porter Morgan, déshabillé pour l'occasion. Leur butin : des contrats de travail et des fichiers Excel sur l'état financier de la société.
Kitetoa nous promet pour lundi prochain l'apothéose de sa grande braderie de printemps avec, paraît-il, un grand nom des médias et des télécoms... Une chose est sûre : certains administrateurs système ne passeront pas un bon week-end.
Source: ZDNet (15/06/2001)
Les sites troués des pros du consulting
Mouche du coche de la sécurité informatique, l'équipe de Kitetoa a débusqué quelques problèmes de configuration sur les sites des cabinets de conseil : Pricewaterhouse Coopers, KPMG, Ernst & Young ou Arthur Andersen
Les grands cabinets de conseil, comme Pricewaterhouse Coopers, KPMG ou Ernst & Young, font une entrée remarquée dans le livre d'or des arroseurs arrosés. Cette fois dans le chapitre Sécurité informatique, comme le raconte l'infatigable équipe de Kitetoa.
Les quatre gros poissons du consulting - Price, KPMG, Ernst & Young France, Arthur Andersen (rien à voir avec son ex-jumeau Andersen Consulting) - ont en effet quelques problèmes pour s'appliquer certains conseils enfantins qu'ils distribuent pourtant auprès des grandes entreprises ou des sites internet marchands.
Nouvelle niche : le conseil sécuritaire
Ces champions du conseil stratégique surfent de plus en plus, en effet, sur la vague sécuritaire, en proposant formations et plans de bataille pour entrer dans l'e-business sans mettre en péril son image et ses ressources.
On apprend par exemple, via Newsbytes du 29 septembre, que « Ernst & Young lance une formation destinée à entrer en force dans des ordinateurs NT ou Unix et pour défigurer des pages web. » Pricewaterhouse, de son côté, a lancé une série de produits d'audit aux noms aussi évocateurs que E-Security, E-Privacy, BetterWeb et beTRUSTed KPMG a paradé la semaine dernière à Atlanta, lors du salon Interop, pour disserter sur les attaques informatiques par saturation, les DDoS dans le jargon.
Des brèches qui font tâche
Comme toujours, Kitetoa n'a rien forcé, rien pénétré. Il a juste repéré, avec un simple navigateur, des configurations mal verrouillées qui laissent ouvertes des brèches exploitables par des malveillants. Bref, ces petites révélations vont faire plus mal à l' image de marque des conseillers qu'à leurs secrets industriels, ou à ceux de leurs clients. Du moins on l'espère
Ernst & Young France (maintenant fusionné avec Cap Gemini), laissait apparaître en clair des dessous de ses outils de publication interne, alors que sa maison mère s'endormait sur (au moins) une machine d'administration.
Mêmes problèmes sur le site mondial d'Arthur Andersen, alors que chez Price, le site institutionnel Pwcglobal.com mérite un nettoyage d'automne.
Pour KPMG, le problème se situe sur la portion américaine de son architecture web, et des répertoires mal protégés donnaient accès à quelques script cgi. En général, ces script peuvent être assez bavards, puisqu'ils cachent parfois logins et mot de passe utilisés par des collaborateurs ou des clients.
Source: ZDNet (03/10/2000)