La société Extelia dont je vous parlais hier et qui est maintenant la représentante officielle du bras armé de la honteuse loi Hadopi, a du souci à se faire.
En effet, depuis hier, Extelia est victime de son succès et ses pauvres clients aussi. Extelia possède de nombreux clients prestigieux comme la Banque de France, les Banques Populaires, Bayard Presse, BNP Paribas, la Caisse d’Epargne, Carrefour, le Crédit Agricole, EDF, les impôts, la Macif, le Crédit Lyonnais, des Ministères (Affaires Etrangères et Emploi), Orange, la RATP, Renault, SFR, SNCF, Total et j’en passe…
Mais malheureusement, en se fourvoyant avec Hadopi, Extelia se ridiculise car depuis hier, les internautes se déchainent en prouvant par A+B que les sites réalisées par ou en collaboration avec Extelia sont de vraies passoires niveau sécurité. Des failles XSS, des fichiers confidentiels et une liste d’adresses emails d’abonnés à la newsletter ont été découverts et rendus public.
C’est d’abord Extelia qui présentait plusieurs failles, qui depuis ont été comblée… Mais maintenant, les internautes s’amusent à découvrir les failles restantes sur les autres site made by Extelia (voir les commentaires de la news de PcInpact)
- Sur Jedeclare.info qui possède une faille permettant de stocker tout ce qu’on veut comme fichier (y compris des MP3 téléchargés illegalement !)
- Sur Carrefour (simplement client de Extelia…le site a été réalisé par une autre société)
- Sur JeDepose
- …et on attend les autres… (je compléterai cette liste)
Et ça n’arrête plus… Heureusement, les failles sont réparées aussi vite qu’elles sont découvertes. Je pense que les techniciens travaillant sur ces sites ne sont pas prêt d’aller dormir… Extalia a d’ailleurs pris ses précautions en retirant son formulaire de contact et le plan d’accès à ses locaux.
Alors bien sûr, je vois ici plusieurs soucis…
Le premier c’est pour les internautes… A la vue du formidable travail de sécurisation d’Extelia sur son propre site (ironie inside), de quel droit vont il pouvoir stocker les données personnelles concernant les internautes attrapés par Hadopi ? Doit on considérer que ces données (adresse ip, email, nom, prénom, adresse postale…etc) seront forcement rendues publiques à un moment ou un autre par inadvertence de la part d’Extelia ? Franchement, ça me plait moyennement…
Ensuite, en considérant toutes les failles découvertes par ces quelques internautes, qu’est ce qui nous garanti qu’un hacker n’ira pas inserer dans leurs bases de données d’IP, les adresses IP de personnes innocentes ?
Pour finir, le souci, je le vois surtout pour Extelia… En effet, un peu comme ce qui est arrivé à la boite hébergeant le site de propagande du Ministère de la Culture ( Jaimelesartistes.fr ). Cette dernière avait rendu l’éponge sous le flot des critiques, des piratages, et du flood à répétition…
Extelia et certainement Advestigo (ou TMG), qui représenteront à eux 2 le bras armé d’Hadopi, vont se voir, eux et leurs clients submergés par les floods en tout genre et les attaques non stop. A la vue des informations confidentielles que manipulent Extelia dans ses process d’optimisation, je serai client chez eux, je ne serai pas rassuré pour l’avenir de mes données. Extelia propose aussi des solutions de vote electronique, ce qui ne laisse rien présager de bon pour 2012 si leur système de vote est aussi sécurisé que le reste de leurs sites web. Arf !
Extelia et ses clients est clairement en train de devenir le souffre douleur de tous les rebelz et hackers du web français qui le feront surement craquer ou rendre l’éponge avant même qu’un système de gestion des infractions au téléchargement ai pu être mis en place.
Bref, je leur souhaite bien du courage… Arf !
ps : Le concours de logos pour Hadopi est ouvert !
[Sources : PcInpact, Numerama, et vous ! + photo header]