L'autre information du Nord – Pas-de-Calais

Zataz : le traqueur traqué risque de trinquer

DailyUne | Petite histoire Par | 23 septembre 2009

Le hasard nous conduit parfois sur ce genre de page internet recelant d’informations privées échouées Dieu sait comment sur la Toile. Depuis 1996,  Zataz.com traque ces failles sur les sites. Premier né au rayon sécurité informatique sur le web français, ce site personnel créé et animé par un journaliste installé près de Lille est une référence en matière de cybercriminalité : 40 000 visites par jour, des infos fraiches (100 000 depuis le début) souvent reprises par les grands titres et un système d’alertes sur ces petits bugs. Sauf qu’aujourd’hui, son éditeur poursuivi en justice, envisage de fermer le site.

Plus d’un million de mails de clients accessibles chez Hewlett Packard… Une filiale de Total qui laissait des données sensibles en accès libre… Et encore des bulletins de notes d’une école, des contrats d’embauches, des numéros de téléphones, des informations clients, de la correspondance privée, parfois même des coordonnées bancaires… Tout ce qui relève du confidentiel et qui n’a rien à faire sur le net. Pas besoin d’être le roi du hacking pour y accéder, on trouve tout ça à partir de vulgaires URL. Juste en surfant. Démonstration en live avec Damien Bancal, journaliste spécialisé dans la sécurité informatique et éditeur de Zataz.com. A partir de Google et en quatre clics, on découvre le contrat d’embauche d’une certaine Sandrine. Adresse, rémunération, numéro de sécu en prime.

Naturellement, le commun des internautes se contrefiche de cette Sandrine ou même du million d’adresses mails de clients HP. Mais imaginez le hacker mettant la main sur ce genre d’info ? « C’est une manne providentielle », selon le journaliste indépendant. « En récupérant les informations clients d’une grosse entreprise, rien ne l’empêche de se faire passer pour l’entreprise en question. » Par exemple. Depuis 1996, Zataz.com compile ainsi ces négligences, ces bugs et autres failles. Et à entendre Damien Bancal, depuis la préhistoire du web, la situation ne s’est pas vraiment améliorée : ” On pourrait penser qu’il existe une évolution, mais c’est pire qu’au début. Tout est automatisé et les moteurs de recherches plus efficaces interceptent tout.”

Failles, bugs, négligences

Bref, on trouve de tout. La petite PME et l’établissement scolaire sont autant concernés que la multinationale ou l’administration. Certaines négligences sont anodines, d’autres beaucoup moins : comme les coordonnées bancaires de clients. « Dans ce cas, je préviens l’entreprise et l’OCLCTIC (Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication, ndlr).” Pour traiter ces failles, Zataz.com revendique un protocole sur ses pages (protocole parfois mis en doute, voir la page Wikipedia consacrée à l’auteur du site). « Lorsqu’un internaute lambda me signale une négligence, j’envoie un courriel à la société. Puis cinq jours après, si je n’ai pas de réponse, je relance, toujours en informant parallèlement le Certa (Centre d’expertise gouvernemental de réponse et de traitement des attaques informatiques, ndlr). » Parfois, notre journaliste se fend d’un papier. Afin d’éviter que la faille ne se reproduise ailleurs. Ou tout simplement parce que l’usager a bien le droit de savoir que ses informations sensées demeurer confidentielles sont parfois divulguées sur la Toile. “Le but n’est pas de se faire mousser ou de taper sur les boîtes, mais simplement d’informer les internautes. » En quatorze ans d’existence, quelque 8 700 entreprises, associations, établissements et entités en tout genre ont ainsi été alertés bénévolement par Zataz. 80% des boites remercient Damien, 19% ne donnent aucune suite, 1% n’apprécie guère du tout de voir cette faille dévoilée.

Zataz.com devant les tribunaux

Au point de traîner Zataz.com devant la justice. Fin 2008, un lecteur signale des documents confidentiels accessibles sur le serveur de Forever living products, géant de la prodution d’aloe vera. Damien Bancal affirme avoir suivi la procédure habituelle : vérification de la faille, mail de signalement à l’entreprise, puis une fois la bévue réparée, rédaction d’un article. Sauf qu’aujourd’hui, notre homme se retrouve devant les tribunaux (lire l’article du Monde) : pour la multinationale, le journaliste s’est introduit illégalement sur son serveur et a écrit un article diffamatoire. Pot de terre contre pot de fer. « En chambre civile, j’étais seul avec mon avocat face à trois avocats experts. » Un procès en civil perdu (il a été relaxé dans le second procès en correctionnelle pour diffamation, mais l’entreprise a fait appel) et quelque 15 000 euros engloutis. Damien songe à raccrocher. Ecœuré. Lundi, il se fend d’un billet sur son site :« Plein le cul ». “Je ne gagne rien avec Zataz.com. C’est un site personnel que j’anime en plus de mon travail.” Il s’accorde une semaine de réflexion (jusque vendredi) avant de prendre une décision. Quarante-huit heures plus tard, Zataz.com avait reçu 96 000 soutiens et 2 000 euros de dons. De quoi alimenter la réflexion de Damien.

Mise à jour 25/09/09: Quelque 100 000 messages de soutien, et 4 000 euros de dons plus tard, Damien Bancal a annoncé la poursuite du site. Devant le buzz soulevé par cette histoire, la société Forever living products fait machine arrière. Elle a annonce ce même jour dans un communiqué qu’elle abandonnait ses poursuites à l’encontre du journaliste Damien Bancal et qu’elle n’exigerait pas l’excution des peines. Lire l’article de Numerama.

Ce contenu est © DailyNord. Si cet article vous intéresse, vous pouvez reprendre un extrait sur votre site (n’excédant pas la moitié de l’article) en citant bien évidemment la source. Si vous désirez publier l’intégralité de l’article, merci de nous contacter »

10 Commentaires

  1. Il ne faudra pas s’étonner si Forever Living Products se prend un bad buzz dans la figure.

    En attendant, tout le monde peut contribuer à son article Wikipédia : http://fr.wikipedia.org/wiki/Forever_Living_Products.

  2. En matière de bad buzz, on peut déjà citer cette vidéo parodie du film La Chute au titre éloquent “Hitler découvre l’affaire Zataz.com”. Balancée sur Youtube mercredi, elle a déjà était visionnée plus de 5 000 fois après 24 heures. Lire par ailleurs, l’article de Numerama à ce sujet.

  3. Suite de cette histoire. Finalement, Damien Bancal n’a pas attendu la fin de la semaine pour prendre sa décision. Au vu du nombre de soutiens depuis le début de la semaine, il a annoncé qu’il maintiendrait son site ouvert. Voir l’article de la Voix du Nord.

Réagir à cet article

La rédaction de DailyNord modère tous les commentaires, ce qui explique qu'ils n'apparaissent pas immédiatement (le délai peut être de quelques heures). Pour qu'un commentaire soit validé, nous vous rappelons qu'il doit être en corrélation avec le sujet, constructif et respectueux vis-à-vis des journalistes comme des précédents commentateurs. Tout commentaire qui ne respecterait pas ce cadre ne sera pas publié. Evidemment, DailyNord ne publiera aucun contenu illicite. N'hésitez pas à avertir la rédaction à info(at)dailynord.fr (remplacer le "at" par "@") si vous jugiez un propos ou contenu illicite, diffamatoire, injurieux, xénophobe, etc.

POLITIQUE

EN ROUTE VERS LES MUNICIPALES 2020

INFORMATIONS ESSENTIELLES, ANECDOTIQUES, DÉCRYPTAGES, ENQUÊTES, RÉVÉLATIONS, INDISCRÉTIONS, REBONDS DÉCALÉS... TOUS NOS ARTICLES S'INTÉRESSANT AUX MUNICIPALES 2020 SONT PAR ICI ! ACCÉDER AU DOSSIER

Abonnez-vous à notre newsletter

Bienvenue dans la ville la plus étrange des Hauts-de-France

Elle pourrait loger 5 000 personnes, mais cette ville n'aura jamais d'habitants. Découvrez pourquoi.

Les tops DailyNord

Les Livres avec Eulalie

AR2L - Agence Régionale du Livre et de la Lecture