#FIC2016 – 2 chercheurs en garde à vue après avoir alerté d’une faille sur le forum

5
125

Deux entrepreneurs se retrouvent en garde en vue pour accès frauduleux dans un système informatique après avoir alerté d’une vulnérabilité dans le site du Forum international de la cybercriminalité (FIC).

Les deux chercheurs ont leur propre société d’audit de sécurité nommée Cesar Security. La semaine dernière, ces derniers découvrent une faille assez importante sur le site web du Forum International de Cybersécurité (FIC) qui se déroulera lundi et mardi prochain à Lille (les 25 et 26 janvier 2016). Nous n’avons donc pas à faire ici un un adolescent isolé en mal de reconnaissance mais bien de professionnels.

Désormais corrigée, la vulnérabilité était tout de même assez critique puisqu’un accès à certaines informations en base de données étaient accessible via injection SQL et que ce type de faille nuit gravement à l’image d’un tel évènement axé cybersécurité ! Du coup, les deux chercheurs s’empressent de contacter l’éditeur du site, à savoir la Compagnie Européenne d’Intelligence Stratégique (CEIS), co-organisateur de l’évènement.

cesar-security

Rapidement, ils ont pu avoir un interlocuteur du CEIS au téléphone pour expliquer plus en détail le problème de sécurité puis lui envoient un rapport par mail, avec une proposition de correctif, un accord de confidentialité ainsi qu’un devis pour un audit de sécurité, comme l’explique S. Oukas, l’un des experts incriminés :

« Au départ, nous lui avons proposé un audit gratuit, mais il a dit que ce n’était pas un problème, que l’on pouvait lui envoyer un devis chiffré. Puis, c’est le silence radio, plus aucune nouvelle. »

S’en ai suivi un tweet indiquant au FIC de réagir. Mais voila, l’histoire ne se termine pas du tout comme ils l’escomptaient : A 9h du matin, ils reçoivent la visite des gendarmes du Centre de lutte contre les cybercriminalités numériques (C3N), et apprennent dans la foulée que l’éditeur du site a porté plainte pour « accès frauduleux à un système de traitement automatisé de données », un délit passible de deux ans d’emprisonnement et d’une amende de 60 000 euros. Tout leur matériel informatique est saisi :

« Nous avons tout perdu : les trois ordinateurs dans notre bureau, un téléphone, un ordinateur personnel et même une PlayStation. Nous sommes tombés de très haut. Nous qui pensions que le FIC aurait encouragé une jeune startup, ils nous mettent à genou. Nous avons perdu nos outils de travail, nous ne pouvons plus rien faire », souligne M. Oukas. 

Vous l’aurez compris, la situation est très délicate, avec d’un côté, l’éditeur qui prône la vente forcée et l’audit sauvage, et de l’autre, une volonté de rendre service et de se faire connaître. En tout cas, cette affaire fait une grosse tâche à quelques jours à peine du FIC 2016… Espérons que cela ouvrira les yeux de certains participants ! Car disons le, c’est bien dommage de réagir d’une telle façon pour un organisme prônant les valeurs de la cybersécurité éthique. Passons ! Attendons le fin mot de l’affaire pour commenter.

Au niveau juridique, les deux chercheur de la start-up de sécurité informatique ne risquent pas forcément une condamnation, surtout si l’on avance l’existence du tout nouvel amendement voté par les députés, visant à protéger les lanceurs d’alerte. A suivre donc.

 

Source : 01Net

5 Commentaires

Les commentaires sont fermés.