ADSL-BC

[max]

vu le nombre de demande, ne pourrait-on pas faire un listing de hash md5 des emails en minuscule, et faire une petite appli pour comparer si son email est dans ce fichier ou pas ? Je veux bien héberger le script ici, je n'ai juste pas le fichier en question.

[cypl]

Bonne idée!

[alct]

Bonjour,

Comment réagir plus efficacement encore, quand, au hasard du net, on découvre ce genre de chose ? Qui prévenir sans le risque que ça retombe sur l'initiateur d'un "post" comme ici "Megatroll" ?

Le problème n'est pas l'efficacité mais la précaution à apporter à la divulgation ou non de l'information.

En sécurité informatique, il existe le principe du "responsible disclosure" [1]. Il s'agit précisément des bonnes pratiques à adopter pour signaler une faille découverte par hasard ou à dessein. Sommairement, ces bonnes pratiques consistent à tenter de contacter, avant toute divulgation, le propriétaire du service présentant la faille afin qu'il la corrige.

[1] (en) https://en.wikipedia.org/wiki/Responsible_disclosure

Si quelqu'un a encore le fichier, je veux bien qu'il me l'envoit par message privé pour voir si je suis dedans

Je déconseille vivement à quiconque de communiquer le fichier de quelque manière que ce soit. Si la SNCB est effectivement responsable de la divulgation initiale et devra répondre de sa protection désastreuse des données personnelles de ses clients, rien ne justifie qu'un individu ayant eu accès - à la faveur de l'actualité - au fichier le distribue (ici encore, quels que soient les motifs ou les moyens).

Comme cela a été justement rapporté par la personne nous ayant contacté, la seule méthode légale pour déterminer si vous êtes dans la base de donnée est de contacter la SNCB Europe.

Il y a des travaux en cours à l'échelle européenne (la "data protection regulation") qui visent notamment à responsabiliser les entités qui faillissent à leur devoir de protection des données personnelles de leur client. Sous la nouvelle régulation, la SNCB Europe aurait 48h pour notifier la fuite à tous les individus lésés. Passé ce délai, l'entité s'exposerait à des sanctions financières pouvant aller jusqu'à 2% de son chiffre d'affaire.

Malgré le fait que cette régulation ne soit pas encore d'application, on ne peut nier les travaux en cours. Cela crée un contexte plus que défavorable à la SNCB Europe qui continue sa chasse aux sorcières et à minimise largement la gravité de la situation. On est en droit d'attendre une réaction responsable qui consisterait à communiquer largement et de façon transparente sur d'une part, la gravité de la fuite ; d'autre part, sur les raisons qui ont permis cette fuite (pas la divulgation par "Megatroll" mais leur politique lamentable en matière de protection des données personnelles de leurs clients) et les mesures qui vont être prises pour éviter que cela ne se reproduise.

vu le nombre de demande, ne pourrait-on pas faire un listing de hash md5 des emails en minuscule

Si l'intention est louable, seule la SNCB Europe est en droit de le faire. Du reste, voir le § sur la "data protection regulation".

André Loconte,
http://nurpa.be

[Le Dam]

J'y ai retrouvé ma mère et ma soeur...

[Seb4990]

J'y ai retrouvé ma mère et ma soeur...

http://youtu.be/XIM3uYkQC7w

Mon père, ma mère, mes frères et mes soeurs...

[GuiGui]

J'ai vu le porte parole de la SNCB, ils la jouent petit bras sur le coup. Pas un mot d'excuses par contre ils sont à la limite de traiter megatroll de pirate.
Y avait pas besoin de taper un truc du genre "fichier secret sur le site de la SNCB" ou d'utiliser des technique obscure de Google pour tomber sur ce fichier, une simple recherche sur son propre nom aurait conduit sur cette page. A eux de ne pas rendre ce genre d'info publique.

[Lecter H]

La seule satisfaction selon moi, c'est que la vérité est enfin écrite ou dite clairement et sans retenue au fur et au mesure que l'on avance.
Je me rappelle encore la première annonce relayée par la presse, c'était RTL : j'ai cru que j'allais tomber de ma chaise ! Comment est-ce possible de la part de professionnel ?

[Seb4990]

La seule satisfaction selon moi, c'est que la vérité est enfin écrite ou dite clairement et sans retenue au fur et au mesure que l'on avance.
Je me rappelle encore la première annonce relayée par la presse, c'était RTL : j'ai cru que j'allais tomber de ma chaise ! Comment est-ce possible de la part de professionnel ?

Le journalisme d'aujourd'hui n'a plus de temps à disposition, il est sous une pression énorme !

Avant, l'information était communiquée à heures fixes (journal parlé de 13h, 19h et presse matinale en librairie ou dans la boîte aux lettres). Maintenant, c'est du flux continu et c'est à celui qui sera X secondes avant l'autre sur l'info.

Les journalistes sont "obligés" de balancer de l'info incomplète ou imprécise juste pour être les premiers. Après, on affine, on complète,on corrige, ... (voir le nombre de mentions "modifié il y a X minutes" sur RTLinfo).

Les gens exigent désormais de l'instantané pour tout. Tout le monde trouve normal que ce qui s'est passé il y a une minute de l'autre coté de la planète soit déjà décrit en détail sur un article de leur application android...

[Lecter H]

http://www.lesoir.be/143379/article/act ... r-internet

[Seb4990]

http://www.lesoir.be/143379/article/actualite/belgique/2012-12-24/sncb-divulgue-coordonn%C3%A9es-priv%C3%A9es-ses-clients-sur-internet

« Contrairement à ce qu’affirme le porte-parole de la SNCB Europe, l’internaute ayant révélé l’information n’a usé d’aucun stratagème pour accéder au fichier. Cette liste d’1 460 734 clients était accessible librement via une requête anodine sur un moteur de recherche. La SNCB Europe a réalisé une gestion irresponsable des données personnelles de ses usagers. En ne prenant aucune mesure pour garantir que ces données soient inaccessibles au public, la SNCB Europe a failli à son devoir de protection des données personnelles de ses clients », a réagi André Loconte, porte-parole de la NURPA (Net Users’ Rights Protection Association).

[Lecter H]

Oui, comme je le disais, enfin la vérité. On ne demande rien d'autre.
Et ceci aussi :
"accessible sur le site internet de la SNCB pendant plusieurs semaines"

[Geo]

N'importe qui, qui a déjà gérer un serveur Web, sait qu'une des bases de la sécurité, c'est de ne pas laisser le listing d'un contenu d'un répertoire.

C'est fondamental, ça fait partie de la configuration de base d'un serveur web ! Et la SNCB n'a aucune excuse sur ce coup

Et même si le lien n'était pas public, il suffit qu'un jour (il y a des mois ou des années) il y ai eu un fichier en téléchargement public dans ce dossier (un pdf ou autre) pour que cet emplacement soit connu des moteurs de recherche.

Bref, je souhaite bon courage à la SNCB pour se justifier

[cypl]

Sous la nouvelle régulation, la SNCB Europe aurait 48h pour notifier la fuite à tous les individus lésés. Passé ce délai, l'entité s'exposerait à des sanctions financières pouvant aller jusqu'à 2% de son chiffre d'affaire.

- Chiffre d'affaires du Groupe SNCB (en millions d'euros): 3.310, 4
- Résultat opérationnel (EBITDA) du Groupe SNCB: 149, 7 millions d'euros
- Résultat net d'exploitation du Groupe SNCB: + 12, 9 millions d'euros

http://jobs.b-rail.be/who/chiffres-cles-du-groupe-sncb

2% = 66 208 000 €

Elle irait droit en "faillite" quoi

[clear.be]

En fait, il y avait deux erreurs grossière de configuration :

- L'accès au fichier n'était pas sécurisé en soi (via un .htaccess p.ex, le serveur étant un apache sous Red-Hat, ou autre système de sécurisation)

- Le répertoire où se trouvait le fichier, et les répertoires parents, étaient "browsable", c'est à dire ouvert à des requêtes récursives, utilisées par les moteurs de recherches au départ de la racine d'un site web, pour en indexer les données. Actuellement, cette grossière erreur a été corrigée sur le répertoire en lui même et sur les répertoires parents, mais toujours présente sur les répertoires enfants. Les mesures prises sont donc digne du plus pur amateurisme en matière de gestion de serveur web.

L'amateurisme total se voit déjà rien qu'au fait que en cas d'erreur de requête, le serveur donne sa version (Apache/2.2.15 (Red Hat) Server at www.b-europe.com Port 80), alors que deux simples lignes (ServerTokens ProductOnly
ServerSignature Off) dans le fichier de config retire cette information, ce qui évite bien des soucis au cas où une faille existerait sur cette version en particulier, ce qui ne serait pas impossible vu que cette version date de 2 ans au moins...

N'importe qui ayant déjà géré un serveur web de manière professionnelle sait que ce sont des erreurs à ne pas faire ! Je me demande vraiment a qui ils ont confié la gestion de leurs serveurs...

[satanas]

En fait, il y avait deux erreurs grossière de configuration :

- L'accès au fichier n'était pas sécurisé en soi (via un .htaccess p.ex, le serveur étant un apache sous Red-Hat, ou autre système de sécurisation)

- Le répertoire où se trouvait le fichier, et les répertoires parents, étaient "browsable", c'est à dire ouvert à des requêtes récursives, utilisées par les moteurs de recherches au départ de la racine d'un site web, pour en indexer les données. Actuellement, cette grossière erreur a été corrigée sur le répertoire en lui même et sur les répertoires parents, mais toujours présente sur les répertoires enfants. Les mesures prises sont donc digne du plus pur amateurisme en matière de gestion de serveur web....

Et en plus si, le web looser ne savait pas comment ne pas rendre les répertoire browsable, il suffisait de mettre un fichier portant le nom e index.html dans chaques répertoires pour empêcher le browse..

L'amateurisme total se voit déjà rien qu'au fait que en cas d'erreur de requête, le serveur donne sa version (Apache/2.2.15 (Red Hat) Server at www.b-europe.com Port 80), alors que deux simples lignes (ServerTokens ProductOnly
ServerSignature Off) dans le fichier de config retire cette information, ce qui évite bien des soucis au cas où une faille existerait sur cette version en particulier, ce qui ne serait pas impossible vu que cette version date de 2 ans au moins...

Un vérification régilière des fichiers est simple à faire et devrait faire partie des taches hebdomadaire des webmaster... ou tout du moins regarder si l e nombre de fichiers change, la taille complête des fichiers etc... méchanismes simples pour voir si le serveur n'est pas attaqué!!! Mais au lieu de ca on fait de coûteux audits de sécurité..

[hpbaxter]

moi je dit merci à "megatroll" pour le coup de pub.
j'en suis sur qu'on a doublé le nombre de visiteurs

[Lecter H]

moi je dit merci à "megatroll" pour le coup de pub.
j'en suis sur qu'on a doublé le nombre de visiteurs

MAX peut être fier de sa communauté très active !
Ce n'est pas la première fois que l'on est sous les feux des projecteurs !
C'est ce que j'aime ici et c'est pourquoi j'y viens tous les jours. Il y a toujours quelque chose d'intéressant qui mérite notre pleine participation !

[emilieninformatique]

Si l'intention est louable, seule la SNCB Europe est en droit de le faire. Du reste, voir le § sur la "data protection regulation".

Cela impliquerait que la SNCB soit à la fois juge et partie...
C'est absurde et irréaliste vu la mauvaise foi évidente de son porte parole.
Le coupable irait fournir des informations à ses victimes pour qu'ils puissent porter plainte?
Faut pas rêver...!!!

[titinet]

Merci à Mr Loconte de La NURPA, pour votre réponse.


En effet, les gars, que personne ne devienne suscpecté d'une manière ou d'une autre maintenant ici, d'avoir fait un boulot d'honnête citoyen.

Je pense qu'il y a des gens avec un poids certain qui ne vont pas laisser ça tranquille.

J'ai lu que certains tweets interpellaient déjà le Ministe Paul Magnette sur la question, ect...

La RTBF a donné le titre "FAITS GRAVES" ... je pense qu'il faut maintenant pour nous décrocher, et continuer à être attentifs ailleurs.

[solar10]

Bah le porte-parole n'est pas informaticien, il dit ce qu'on lui dit de dire.