Parti Pirate

Swisscom et sa notion variable des dangers

29/10/2012

Un opérateur comme Swisscom est, comme tous les opérateurs, sujet à des attaques quotidiennes contre son réseau. Cela n'est pas nouveau, et plus un opérateur est gros, plus il devient la cible d'attaques. Pourtant j'ai aujourd'hui un doute face à la capacité de Swisscom à prendre en compte certaines alertes provenant des utilisateurs.

Un éditeur d'anti-virus me contacte un jour. Il a découvert une faille importante chez Swisscom mettant en danger les clients (dont j'ignore les détails). Pourquoi me contacte-t-il moi ? Car il n'avait trouvé aucun moyen d'entrer en contact avec Swisscom. Après un petit tour de notre réseau, on arrive à trouver des contacts internes. La réponse ? « Envoyez un mail à abuse@swisscom.com ». C'est comme si je vous disais d’appeler le service clientèle...

Déçu, je m'excuse de la réponse auprès de l'éditeur. L'affaire en restera là.

Quelques jours plus tard, un client de Swisscom me contacte pour me faire part de son aventure. Il venait de recevoir un mail de phishing visant les clients Swisscom.

Pour ceux qui ne le savent pas, le phishing ou hameçonnage est un des dangers auxquels vous pouvez être confronté. Si ce sont principalement les banques qui étaient visées, les opérateurs sont aujourd'hui dans la ligne de mire. Le phishing est particulièrement dangereux car il permet d'usurper votre identité et peut aboutir à vous faire porter le chapeau pour des délits en ligne, ou plus simplement vider votre compte bancaire.

Le client reçoit donc un mail de phishing, le reconnaît et décide de le transmettre à Swisscom. Mais il fut surpris de la réponse : Swisscom le renvoi simplement sur cette page contenant de simples explications sur le phishing.

Le client envoi alors une demande plus précise au service clientèle qui lui répond : « Nous ne pourrons cependant pas entreprendre directement de démarche sur l’adresse web que vous nous avez indiquée. De votre côté, vous pouvez effacer ce mail contenant le fishing ! »

Fin de l'action pour Swisscom.

Mais notre client, si il a eu la possibilité de reconnaître ce phishing et de le signaler, c'est qu'il est bien au courant des dangers que représente ce mail pour les autres clients qui l'ont reçu. Il voulait être sûr que d'autre personnes ne tombent pas dans le panneau !

A mon tour, je contacte Swisscom en leur signalant le problème. Pendant ce temps, le site de phishing est toujours disponible.

swisscom1.png

Mais sans réponse de leur part, je déclenche moi-même la procédure anti-phishing. Aujourd'hui, si le site est toujours disponible, un avertissement apparaît si vous tentez d'y accéder.

swisscom2.png

Alors qu'aurait du faire Swisscom ? Tout d'abord signaler le site en suivant la procédure anti-phishing. Ensuite, signaler aux clients, à travers une alerte sur leur site, de l'existence de ce danger. Et enfin, de porter plainte afin de débusquer l'organisation criminelle qui a piraté le site d'un pauvre photographe russe afin d'y installer leur arnaque. Cela a-t-il été fait ? Les deux premiers points, clairement non...

Je crois qu'aujourd'hui, dans un environnement où la grande majorité des gens ne sont pas entrainés à déceler ce genre de danger, il est de la responsabilité pour un opérateur de les prévenir, surtout si, et c'est le cas ici, la relation entre le client et l'opérateur est compromise par un risque d'usurpation. Swisscom a commis une faute par son inaction.

Bref pour finir: Selon Swisscom, ce genre d'attaque n'est pas grave... Protéger ses clients non plus... Apparemment...

swisscom3.png

Cher Swisscom, une réponse officielle ?

---

Pour se protéger du phishing, il faut savoir qu'une société sérieuse ne vous demandera jamais votre mot de passe, ou autre données par mail. Pour en savoir plus : http://www.commentcamarche.net/contents/attaques/phishing...

Rapport de la séance de déchiffrement

23/10/2012

Remarque: ceci n'est pas le rapport sur le code source

Dans le cadre de l'étude par le Parti Pirate du code source du vote électronique, nous avons été invités par la Chancellerie à assister à la séance de déchiffrement de l'urne le 23 septembre.

Nous avons soumis nos recommandations dans le document suivant: Rapport de la Séance du déchiffrement de l'urne du vote électronique du 23 Septembre 2012

Il nous a paru important de développer le contrôle des phases virtuelles de la procédure. Si la Commission électorale a une bonne maitrise du monde réel, elle n'a aucune idée de ce qui se passe sur l'écran. Mais la Commission n'est pas non plus armée pour ce type de contrôle.

Afin de développer ce contrôle, nous proposons de mettre à disposition, après la publication des résultats, l'urne ainsi que les clés. Des citoyens, ou groupes de citoyens, pourront alors développer des logiciels permettant de recalculer et confronter les résultats.

Il s'agirait d'un pas vers un système plus vérifiable, condition indispensable pour devenir le système de vote électronique de la confédération.

Visite de la séance de déchiffrement

11/10/2012

Le 23 septembre dernier, nous avons été convié à assister à la séance de déchiffrement de l'urne, appelée d'ailleurs par la Chancellerie "séance de décryptage de l'urne". Les puristes apprécieront la nuance.

Accueillis par Madame la Chancelière elle-même, nous avons donc pu assister à l'ensemble de la procédure, Ensuite les services de la Chancellerie nous ont fait une présentation approfondie des détails de la procédure. Ils étaient ouverts à toutes nos questions et suggestions. Un bon effort de leur part, dans un domaine qu'ils savent critique.

Lors de la séance, nous avons relevé des points d'amélioration, et même des pistes pour rendre le vote électronique plus vérifiable. Nous avons donc rédigé un rapport. La version préliminaire a été soumise à la Chancellerie pour lui laisser l’occasion d'y apporter ses commentaires. Ensuite, le rapport sera publié ici même.

All the posts