septembre 3rd, 2014

Nos confrères de Ars Technica ont mis la main sur un document « à diffusion limitée » émis par le DHS, département de la sécurité intérieure des Etats-Unis.

Ce document prévient des risques de Googlehacking à l’encontre de sites mal conçus, et donne quelques indications et axes de recherche en matière de test et de renforcement des mesures de confidentialité : chiffrement des données sensibles, contrôle des accès par mot de passe, rédaction d’un fichier « robot.txt » sérieux… les recettes sont quasiment aussi vieilles que les premières communications de Johnny « I hack Stuff » Long, le père du GoogleHacking, le premier qui alerta l’opinion sur l’indélicatesse des crawlers émis par les principaux moteurs de recherche.

Rien de très nouveau, rien de très geek ou techies, seulement une opération de sensibilisation à destination des TPE et PME et autres petites structures en contact direct avec des services de police de proximité.

Pendant ce temps-là, en France….

97 000 identités (email et mot de passe chiffré) de personnes actives sur la plateforme de suivi de failles et défauts de la fondation Mozilla étaient accessibles sur une ressource serveur dénuée de protection, et ce durant une période de 30 jours.

C’est la seconde fois en l’espace de deux mois qu’un tel problème est découvert. La précédente mésaventure du même genre avait laissé aux quatre vents des pans entiers de base de données contenant les coordonnées de contributeurs. Ces fichiers ont été accessibles durant environ 3 mois avant que l’on ne se rende compte du problème.

Cette exposition involontaire de données personnelles ne signifie pas nécessairement que lesdites informations aient été récupérées par des personnes mal intentionnées.