Seulement quelques heures après son lancement, le site internet de la Commission d’enquête sur l’octroi et la gestion des contrats publics dans l’industrie de la construction (ceic.gouv.qc.ca) a été modifié, car il présentait des risques au niveau de la sécurité des informations.
«Le logiciel sur le serveur n’était pas à jour et il n’y avait pas de moyen de sécurité pour authentifier si le serveur vers lequel on envoie l’information est bel et bien celui de la commission», a expliqué Steve Waterhouse, expert en sécurité informatique, en entrevue à LCN. Une simple vérification de quelques minutes lui a permis de déceler d’importantes failles dans la sécurité du site.
Selon lui, la précipitation pourrait expliquer ce manque de considération de la sécurité.
«Le site web avait une version très dépassée, peut-être a-t-il été fait rapidement pour être mis en ligne, sans considérer l’ampleur que ça peut prendre si jamais il y a une fuite.»
Quelques heures seulement après son dévoilement, le site a été modifié.
«Ils ont retiré la possibilité de télécharger de l’information et ont simplement désigné un numéro et une adresse postale où envoyer cette information ce qui, à mon sens, est un peu plus sécuritaire que ce qu’il y avait avant», a conclu l’expert en informatique.
Source: http://fr.canoe.ca/infos/quebeccanada/archives/2012/02/20120222-062945.html
Faille de sécurité sur YouPorn
Le site diffusant des contenus pornographiques a vu la fuite des données personnelles de plus d’un million de ses utilisateurs, du fait de graves manquements dans son code, comme l’ont révélé plusieurs experts en sécurité informatique.
En fait, c’est une liste contenant les adresses e-mails et les mots de passe d’un million d’utilisateurs enregistrés sur YouPorn qui s’est retrouvée en ligne. Elle ne contient pas d’autres informations sur les internautes. Ses données ne sont plus consultables, sauf une partie ayant été copiée sur PasteBin. Selon l’éditeur de solutions de sécurité informatique suédois Eurosecure, le problème semble imputable à un développeur peu consciencieux, qui aurait accidentellement laissé le debug logging sur une URL publique depuis novembre 2007 (qui aurait stocké toutes les inscriptions depuis cette date).
Source: http://www.linformaticien.com/actualites/id/23689/grosse-faille-de-securite-sur-youporn.aspx
Discussion:
- comment trouver les failles et les vulnérabiulités sur vos ordinateurs avec NESSUS
- voir une description de l’outil et des vulnérabilités ici
- Télécharger NESSUS
