Davos vs Hackers

 

Le hacker du forum de Davos acquitté

Voilà qui va faire plaisir aux hacktivistes. La procédure ouverte contre le visiteur du forum de Davos, en janvier 2001, a été stoppée. Le tribunal de Berne estime que les organisateurs du forum n'avaient pas suffisamment protégé les informations sensibles dont ils avaient la charge.

Le hacker a reconnu être passé dans le serveur du Forum mais a affirmé n'avoir rien téléchargé. Des données confidentielles de Bill Gates, Clinton ou encore du président palestinien Yasser Arafat u avait été découvert.

Source: Zataz (09/10/2002)

 

Le pirate de Davos

Arrêté vendredi dernier, un jeune informaticien est suspecté d’avoir eu accès aux données des "grands" de ce monde sur le réseau du Forum de Davos.

À la suite du "piratage" des informations personnelles des participants au Forum de Davos, la police a arrêté un suspect. Âgé de 20 ans, résidant à Berne, le suspect serait ingénieur en informatique. Un groupe baptisé "Virtual Monkeywrench" avait revendiqué la collecte de ces données et communiqué à l’hebdomadaire SonntagsZeitung un CD-ROM contenant lesdites informations (numéros de téléphone, de carte de crédit, etc.). L’affaire a fait grand bruit puisqu’il s’agit des "grands de ce monde", selon l’expression consacrée. À tel point que les responsables du Forum de Davos ont laissé filtrer l’information selon laquelle la police suisse avait reçu des avertissements sur une possible attaque électronique et n’avait rien fait. Histoire de mettre la pression sur les autorités. Bilan, le parquet menaçait en début de semaine dernière le journal SonntagsZeitung d’une perquisition. La crise de nerf était proche et l’arrestation du jeune homme en question pourrait calmer les esprits (force resterait ainsi à la loi). Reste que de nombreuses zones d’ombre subsistent. Pour l’instant, les preuves semblent manquer cruellement. Les données "piratées" étaient-elles correctement protégées ? Le groupe qui avait revendiqué cette action avait laissé entendre que l’accès aux informations confidentielles avait été très simple. De fait, le site du Forum de Davos, pourtant installé par IBM, l’éditeur même des logiciels utilisés (Lotus-Domino) présentait, après le passage du ou des pirates des défauts que Transfert avait pu démontrer.

Un trou béant

Pour l’instant, il n’est pas prouvé qu’il y ait eu piratage au sens informatique du terme. Selon nos informations, un expert informatique a pu accéder aux fichiers logs (les traces informatiques) du firewall, sensé protéger les sites du Forum de Davos. Il aurait expliqué aux policiers chargés de l’enquête qu’il n’y a rien dans ces traces qui permette de savoir ce qui s’est passé sur le serveur incriminé. Pas de traces du piratage donc. Pour autant, l’expert aurait pu souligner quelques points cocasses... L’accès aux données via le port de communication (comme une ligne de communication réservée) standard 1433 (SQL) n’était pas protégé. Il semblerait, par ailleurs, que le jeune homme arrêté ait été retrouvé grâce aux logs du firewall qui démontrent un scan du réseau depuis son ordinateur. Il n’a jamais été prouvé qu’un scan constitue un piratage puisqu’il s’agit la plupart du temps de demander aux serveurs des informations publiques sur leur configuration. Encore aujourd’hui, le site community.weforum.org qui aurait été "piraté" présente quelques défauts d’installation. Ceci démontre, s’il le fallait, que le Forum de Davos et IBM, prestataire de service, n’ont pas fouillé très loin pour appréhender globalement les problèmes de ces serveurs.

Source: Transfert.net (26/02/2001)

 

Maîtres du web contre Maîtres du monde

Des "hackers" mettent la main sur des informations confidentielles lors du forum de Davos. Et pas des petites infos. Dans la série, les maîtres du monde ont laissé leurs vies privées sur le serveur, il n'y a pas mieux. Les "hackers" qui ont contacté la presse suisse, sont tombés sur des informations de l'ancien président américain Bill Clinton, ou encore sur l'ancienne secrétaire d'Etat Madeleine Albright, le président sud-africain Thabo Mbeki, Yasser Arafat ou encore Bill Gates. L'hebdomadaire suisse SonntagsZeitung qui a reçu pour preuve un cd-rom explique que les données qui ont été trouvées étaient : Numéros de carte bancaire, téléphone privé, En gros, un bon fichier "clients". La police cherche comment les pirates ont pu agir, les responsables du forum ont porté plainte et les hackers doivent bien se marrer.

Source: ZaTaZ (06/02/2001)


Davos : piratage des puissants

Des pirates informatiques anti-mondialisation ont réussi à voler des données confidentielles sur partcipants du Forum économique mondial (WEF) de Davos, selon l'hebdomadaire suisse SonntagsZeitung. Les pirates ont envoyé, sous pli anonyme, une disquette reproduisant un fichier confidentiel du WEF contenant ces données qui vont du numéro de la carte de crédit, avec date d'expiration, jusqu'à l'adresse privée, numéro de portable, etc... Le journal, qui a reçu la disquette cette semaine, a pu confirmer auprès de quelques intéressés la véracité des données. Parmi les noms du listing, figurent ceux de Bernard Arnault (LVMH), Bill Gates (Microsoft), Bill Clinton, Yasser Arafat, et Jean-Marie Messier (Vivendi Universal). La direction du Forum économique mondial (WEF), alertée par le journal, a aussitôt prévenu les autorités. 

Source: L'Internaute (05/02/2001)


Davos ne résiste pas aux hackers

Les noms, adresses et numéros de cartes bancaires de plusieurs participants au Forum de Davos auraient été détournés par des hackers. Le site web de Davos ne va pas très fort non plus.

Si l’on en croit le journal suisse SonntagsZeitung, des hackers auraient réussi à s’approprier les noms, adresses et numéros de cartes bancaires de participants au Forum de Davos. Interrogé par Cnet, le porte-parole de l’événement, Charles McLean, reconnaît le problème du bout des lèvres mais avance une excuse en béton : "Nous ne savons pas encore comment ces informations ont pu s’échapper. Mais s’il peut y avoir des failles au Pentagone ou au département d’État, il peut aussi y en avoir au Forum économique mondial." Pour autant, le porte-parole, qui veut sans doute calmer les illustres participants du Forum, précise : "Nous prenons ce problème très au sérieux et nous allons enquêter." Ouf. Voilà qui rassurera ceux dont les numéros de carte bancaire sont dans la nature. 

Serveur mal configuré

Les représentants de Davos n’ont pas répondu à nos mails ou messages téléphoniques. Nous souhaitions pourtant obtenir quelques informations. En effet, il semblerait que ces données aient été piratées depuis l’intérieur même du centre d’enregistrement des participants à Davos. Ce qui signifie qu’une personne (si elle ne faisait pas partie de l’organisation du Forum) a pu se brancher sur le réseau local et accéder à des données qui auraient normalement dû être protégées. Voilà une situation particulièrement étrange… Selon le Charles McLean, toujours cité dans Cnet, le site web du Forum ne contient pas ce genre d’informations. Pourtant…

Le serveur présente un défaut de sécurité trivial permettant de récolter un grand nombre d’informations devant normalement être cachées. Il y a quelques jours encore, ce défaut permettait d’obtenir des informations dans la partie "Private Area". Depuis l’affaire des numéros de cartes, ces informations ont disparu. Tant mieux pour les utilisateurs de cette partie du site. Reste la partie publique. Si vous envoyez un commentaire au site weforum.org via les formulaires proposés, il peut être lu par n’importe quel internaute. Ce genre de problème n’a pas l’air de chagriner IBM, qui participe à la réalisation du site puisque le serveur est un Lotus-Domino (un de ses produits phare), ni le webmaster qui a pourtant modifié récemment la partie privée… 

Source: Transfert (05/02/2001)