PROTEGOR : Damien, peux-tu te présenter aux internautes qui ne te connaîtraient pas ?
Damien Bancal : J’ai une grosse trentaine d’année, marié, deux enfants, journaliste. J’ai cofondé ZATAZ.COM un site dédié à l’actualité liée à la problématique de la cyber criminalité sur Internet. J’ai commencé à écrire sur le sujet en 1989 (sous forme de fanzine) ; puis sur le web en 1996 et sous le nom de ZATAZ en 1998.
P. : L’actualité fait parler de toi, puisque l’on t’accuse en ce moment d’avoir aidé à dénoncer une faille informatique grave… tu peux nous expliquer rapidement ? Que risques-tu ?
D.B. : Septembre 2008, je suis alerté par un lecteur. Ce dernier, via un moteur de recherche, découvre d’étrange documents via les liens proposés par ce moteur. Je verifie et découvre que les documents sont référencés à partir d’un FTP ouvert, libre d’accès. J’alerte l’entreprise. Elle corrige et me remercie par courriel. Trois mois plus tard, elle me met devant la justice. Au civil pour faire retirer l’article et en Correctionnel pour « diffamation ». Au civil, j’ai eu ordre de retirer l’article après avoir perdu mon appel en septembre 09. L’article n’étant plus en ligne depuis décembre 2008 je dois rembourser les frais d’avocats de la partie adverse. Pour le pénal, le juge a suivi la demande du Ministère public (Procureur) qui demandait la relaxe. L’entreprise a fait appel de la décision.
P. : Comment expliques-tu cette tourmente ?
D.B. : Je pense que le patron de cette entreprise n’a pas été informé correctement sur le sujet. Il a fait son travail, protéger son entreprise. Après, il est très simple de sortir l’argent, les avocats, les experts.
P. : Tu animes l’excellent site d’information multimédia zataz.com, avec un très fort accent mis sur la sécurité informatique. Selon toi, à quel point les systèmes d’information sont-ils un risque pour chacun ?
D.B. : Je ne suis pas un informaticien, ni un expert en sécurité informatique mais le témoin de faits sur la toile. Et ce témoin est de plus en plus inquiet à la vue de ce que les entreprises laissent trainer sur l’Internet. Les jeux concours, les fiches que l’ont rempli, les contrats que l’on passe sont quasiment tous automatisés. La moindre erreur est fatale.
P. : Quel est pour toi le plus gros danger pour un internaute lambda aujourd’hui ?
D.B. : De cliquer sur un lien et de se retrouver face à des informations sensibles. Il peut prier pour que l’administrateur ne hurle pas, ensuite, au piratage. Il sera très difficile pour l’internaute de prouver le contraire. Autre cas à prendre au sérieux : contrôlez TOUTES les informations privées que vous diffusez sur la toile.
P. : A part les informations bancaires, y a-t-il vraiment un risque induit à se faire voler des informations personnelles ?
D.B. : Un cas concret. La semaine dernière, un internaute m’alerte d’une fuite de données à partir du site d’un jeu mis en place par un important assureur. Les données, les identités, les adresses, téléphones, adresses emails des joueurs. Il suffit à un pirate d’intercepter les informations pour se faire passer pour l’assureur. Les internautes seront en confiance. Seules, l’entreprise et eux sont censés avoir ces informations. Le pirate pourrait proposer une assurance habitation, par exemple, pour 20 euros pour l’année et diriger ses victimes vers un faux site. On n’imagine pas la capacité de nuisance que peuvent avoir les escrocs du web.
P. : As-tu des anecdotes de piratages particulièrement éloquentes ?
D.B. : En juin dernier, un môme m’annonce avoir trouvé un lien étonnant chez un important FAI américain. En cliquant sur l’URL, il suffisait de changer le chiffre contenu dans ce dernier pour connaître l’ensemble des secrets des clients. Ici, ce n’est pas du piratage, juste une erreur de programmation qui se retrouve accessible au commun des mortels.
P. : Si tu avais 3 articles de zataz à mettre en avant à des férus de sécurité personnelle, lesquels seraient-ils ?
D.B. : Sacré question ça ! Avec plusieurs dizaines de milliers d’actualiés…
http://www.zataz.com/rfi-honey-net/
… qui permet de suivre les attaques en cours à l’encontre de zataz et de serveurs honey pot (pot de miel), cela donne une petite idée de qui fait quoi, de quel lieu et comment.
http://www.zataz.com/alerte-virus/19313/protocole–alerte–zataz.html
… le protocole d’alerte
http://www.zataz.com/haided/
… qui permet de suivre les alertes en cours
et j’espère le prochain !
P. : Nos informations personnelles sont stockées dans des dizaines de systèmes informatiques (administration, banque, assurance, sécurité sociale, EDF, service telecom, abonnements mobile, TV, etc.), chacun accessible par des dizaines d’acteurs différents (employés de ces entreprises pour le besoin de service associé, mais aussi par les prestataires travaillant pour ces entreprise & par beaucoup de membre de la DSI de ces entreprises) ; comment est-il possible de sécuriser cela ?!
D.B. : Très honnêtement, j’en ai aucune idée !
P. : Les administrateurs de grosses bases de données stockant des informations personnelles ne sont-ils pas finalement les personnes les plus potentiellement dangereuses en termes de risques informatiques ? (vu leur facilité à extraire & revendre les données de manière intraçable)
D.B. : Il est clair que celui qui a en main la possibilité de lire l’information est celui qui maitrise cette dernière. Maintenant, des protocoles, des lois et des règles internes doivent pouvoir mettre quelques protections.
P. : Pour finir, si tu avais un conseil à prodiguer à des non-informaticiens soucieux à la fois de leur sécurité personnelle & de la confidentialité de leurs informations personnelles, pour qu’ils puissent être serein (du point de vue sécurité) sur un ordinateur, quel serait-il ?
D.B. : Que la boite en métal qu’ils ont devant eux, n’est pas qu’une boite en métal justement. Aujourd’hui, l’ordinateur sait presque plus de chose que sa propre famille. Courriels, informations confidentielles, photographies, surfs, … Bref, je n’ai jamais vue quelqu’un jeter son carnet intime, son porte-feuille dans la rue en se disant « je le place ici, je le reprendrais plus tard »… alors pourquoi ne pas faire pareil sur le web ! Dernier point, un HACKER n’est pas un pirate(*) !
Merci Damien !
(*) NDLR : Pour Damien, le hacker est celui qui va aider, permettre à la communauté des utilisateurs d’avancer, de se protéger, de réfléchir avec les nouvelles technologies. Il peut aussi bien permettre la mise en avant d’une faille, sa correction, dénoncer des problèmes de liberté, etc. Le pirate, lui, vole, détruit, …
