"Cher client, egghead.com a découvert qu’un hacker avait eu accès à son réseau [...] dans un souci de protection de nos clients, nous avons immédiatement contacté les sociétés de cartes de crédit avec lesquelles nous travaillons"... C’est ainsi que commençait la lettre envoyée ce week-end par le président du site de commerce électronique Egghead à ses clients. Pas très rassurant lorsque l’on sait que les bases de données de Egghead contiennent environ 3,7 millions de noms... Toutefois, la démarche de Egghead diffère totalement de ce que les entreprises ont l’habitude de faire lorsqu’elles sont victimes d’un piratage. En effet, la société américaine a elle-même organisé la médiatisation de cette information et a prévenu ses clients. Fait rare. Les entreprises ont en effet plutôt tendance à cacher ce genre d’intrusion et en tout cas, à ne pas prévenir leurs clients. En France, une grande banque en ligne n’a ainsi pas jugé utile de modifier les identifiants et mots de passe de ses clients après s’être rendue compte que ces données permettant de se connecter sur les comptes en banque via Internet avaient circulé sur le Net pendant des mois. Mais Egghead n’a pas été la seule victime des pirates. La Poste a vu un de ses "client mécontent" modifier une page du site laposte.fr. Pas étonnant lorsque l’on sait que certains sites de la poste présentent aujourd’hui encore des défauts connus. Il était possible mardi soir de trouver des identifiants et des mots de passe pour une base de données de La Poste sur le site du même nom... En revanche impossible de parler à un technicien pour savoir ce qui c’était passé. "Il n’y a pas grand monde", nous répondait-on. Vacances obligent.

C’est pas moi c’est mon prof !

Toujours à la rubrique faits divers du monde du hack, un jeune homme de 15 ans a visiblement pris un peu trop au sérieux l’invitation à une séance de hack (dans le bon sens du terme) de la part de son prof d’informatique, rapporte le Seattle Times. Ce dernier a lancé comme une boutade que la société éditrice d’un "logiciel de sécurité permettant de bloquer l’accès des étudiants à des sites auxquels ils n’ont pas le droit d’accéder" était prête à offrir une récompense à celui qui pourrait passer outre cette sécurité. Et que lui, en retiendrait 10% si un de ses étudiant était capable de le faire. Un jeune pirate l’a pris au mot. Et s’est retrouvé exclu du collège et au commissariat. Pour mémoire, le Congrès vient de voter une loi imposant les filtres dans tous les établissements publics recevant des subventions fédérales. Il semble que ce jeune élève ait prouvé par a+b ce que tout le monde savait déjà. Ces filtres sont inopérants pour un utilisateur à peine averti. Si en plus on peut désactiver le système général du collège...

Génome et bêtise en péril

Au registre du FUD, on trouvait également en ces fêtes de fin d’année le coup de pub d’une boite de consulting du secteur de la biopharmacie. Celle-ci affirme avoir testé la sécurité des systèmes d’information de sociétés dont le domaine d’activité est le génome. Le résultat serait dramatique. Reste que ce qui a été testé ne peut en aucun cas être considéré comme mettant en péril la sécurité et la confidentialité des informations détenues par ces entreprises. En revanche, le département américain de la Santé annonce qu’en début d’année (il est temps), un descriptif des standards de sécurité en matière de stockage et de transmission des données médicales sera publié. Le "brouillon" de ce document avait été mis en ligne en août 1998...

Inde, Pakistan, Israël et Palestine

Pour finir, les fêtes ont été l’occasion pour Wired de dresser un petit bilan des sites graffités en Inde, au Pakistan, en Israël et dans le cyber-monde palestinien. La lutte par piratage de pages web se poursuit sur Internet. Une suite de non-événements pourtant régulièrement à la Une de la presse en ligne. Il serait temps que quelqu’un leur dise qu’entre pirater une page d’accueil d’un site web et poser des bombes, il y a une différence. De même qu’entre un tel graffiti et l’accès à des réseaux essentiels...