NewbieContest

Tout d'abord bonjour à vous tous.
Je suis arrivé ici par le plus grand des hasards, mais ma connaissance en la matière est tellement ridicule que ma question va vous paraitre terriblement bête.

En fait je fréquente quelques sites sous Xooit et forumactif et je rencontre énormément de plaintes de hachages.
Ma question n'a pas pour but d'attaquer qui que ce soit, mais est à titre indicatif.
Je possède également 1 forum et suis régulièrement menacé, suis je protégé par mon hébergeur ou non ?

Moi j'aurais tendance à dire que les forumactif sont bien sécurisés =)
Mais oui, tout est "hackable"...

Ton hébergeur ne te protège absolument pas pour ca, tu es seul maître à bord. Si tu héberge des sous domaines par exemple, il faut que TU fasses attention à ce qui est hébergé sur le sous domaine.

Pour les forums genre forumactif ce qui se fait c'est surement du social engineering. Comme dis Sabmit, la sécurité zéro n'existe pas !

Enjoy

The lsd

Merci pour vos réponses rapides.
Que voulez vous dire par "sous domaines" ?

http://google.com est un domaine

http://admin.google.com est un sous domaine

Mais cela n'est valable que si tu possèdes un serveur. Free et autres Forumactif ne donne pas de sous domaines

Enjoy

The lsd

Merci à toi ISD, je sais maintenant que je ne risque pas grand chose sauf erreur humaine.
J'aimerais savoir autre chose, j'hésite à récreer un topic pour cela.

Y a t'il une solution pour découvrir la situation géographique exact d'un IP ?

Bonjour,

Non il ne nous est pas possible pour nous d'avoir l'adresse exact d'une Ip mais, il est possible de voir à peu prés où se situe l'Ip.
Une rechercher sur le mot "whois" avec ton meilleur ami te donnera de plus amples informations ;)

Sabmit

Merci beaucoup, j'ai maintenant les réponses a mes questions.

J'edit:  =D mon ami à trouver le site et le site c'est trompé sur mon ip de presque 500 km, c'est pas trés fiable.

Hahem...

Euh oui, enfin bon... euhhh ben, c'est à dire que... Enfin vous m'avez compris quoi !  :oops:

Enjoy

The lsd

tu as voulu dire "Le risque zéro"...

ton hébergeur doit te protéger (dans une certaine mesure)  des attaques ciblant leurs ressources ( le serveur ). En revanche un hébergeur ne peut pas se porter garant de la vulnérabilité des applications que tu installes sur leurs serveur. Et encore, bien lire le "licence of agreement" lorsqu'on souscrit un site gratuit ou payant chez un hebergeur.

exemple : l' hébergeur ne pourra être porté responsable du défaçage de ton site par le biais d'une faille highlight ciblant une version obsolète de ton phpbb.

Je n'en serait pas très sur à ta place Akway ! Les hébergeurs ne sont pas forcément des as de la sécurité (voire pas du tout hein, c'est un doux euphémisme), donc il se peut très bien que le serveur se fasse pwned par un biais autre que le web, et donc les sites qu'il héberge. Pour autant, l'hébergeur n'est absolument pas en tort !

Vas tu porter plainte à Microsoft parce que tu t'es fait piraté ta machine ou à Apache à cause de vulns dans leurs versions ?

Après, je ne fais que des suppositions, je me plante peut être totalement. Il faudrait engager un juriste sur NC ^^

Enjoy

The lsd

Non, the lsd, tu n'es absolument pas en tort.
En effet, vous êtes en droit de porter plainte uniquement contre les personnes qui ont fait atteintes aux systèmes de traitement automatisé de données, voici le détail de l'article 323, Chapitre 3, titre 2, livre 3, dans la partie législative du code pénal :


Article 323-1 :

  Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45000 euros d'amende).


Article 323-2 :

  Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75000 euros d'amende).


Article 323-3 :

  Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75000 euros d'amende).


Article 323-3-1 : Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée).


Article 323-4 :

La participation à un groupement formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d'une ou de plusieurs des infractions prévues par les articles 323-1 à 323-3-1 est punie des peines prévues pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée).


Article 323-5 :

Les personnes physiques coupables des délits prévus au présent chapitre encourent également les peines complémentaires suivantes :

1° L'interdiction, pour une durée de cinq ans au plus, des droits civiques, civils et de famille, suivant les modalités de l'article 131-26 ;
2° L'interdiction, pour une durée de cinq ans au plus, d'exercer une fonction publique ou d'exercer l'activité professionnelle ou sociale dans l'exercice de laquelle ou à l'occasion de laquelle l'infraction a été commise ;
3° La confiscation de la chose qui a servi ou était destinée à commettre l'infraction ou de la chose qui en est le produit, à l'exception des objets susceptibles de restitution ;
4° La fermeture, pour une durée de cinq ans au plus, des établissements ou de l'un ou de plusieurs des établissements de l'entreprise ayant servi à commettre les faits incriminés ;
5° L'exclusion, pour une durée de cinq ans au plus, des marchés publics ;
6° L'interdiction, pour une durée de cinq ans au plus, d'émettre des chèques autres que ceux qui permettent le retrait de fonds par le tireur auprès du tiré ou ceux qui sont certifiés ;
7° L'affichage ou la diffusion de la décision prononcée dans les conditions prévues par l'article 131-35.


Article 323-6 :

Les personnes morales peuvent être déclarées responsables pénalement, dans les conditions prévues par l'article 121-2, des infractions définies au présent chapitre.

Les peines encourues par les personnes morales sont :

1° L'amende, suivant les modalités prévues par l'article 131-38 ;
2° Les peines mentionnées à l'article 131-39.

L'interdiction mentionnée au 2° de l'article 131-39 porte sur l'activité dans l'exercice ou à l'occasion de l'exercice de laquelle l'infraction a été commise.


Nota : Et pour ceux qui disent "j'ai essayé de m'introduire mais j'ai pas réussi, donc je l'ai pas fait..." et bien voici l'article 323-7 :


Article 323-7 :

La tentative des délits prévus par les articles 323-1 à 323-3-1 est punie des mêmes peines.



Nota2 : En revanche, vous pouvez toujours tenter d'appartenir ou de participer à un groupe formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d'une ou de plusieurs des infractions prévues par les articles 323-1 à 323-3-1, la loi ne vous punira pas :)


---------------------

Tout ceci pour dire que la loi ne punit en aucun cas les personnes responsables d'une application ou d'un hébergeur parce que celui-ci laisse d'horrible(s) faille(s)...

Juste pour info et montrer que les hébergeurs ne sont pas des "As de la sécurité" (comme le dis The Lsd) :

[SDZ] Olympe Network (http://www.siteduzero.com/forum-83-244897-p1-olympe-network-hacker-de-nouveau.html)

Je n'ai pas eu le temps de bien chercher pour trouver autre chose...
Fait une recherche sur Olympe Network (qui pourtant était un assez bon hébergeur :rolleyes:) et tu verra ce qui lui est arrivé =)

Il n'y a pas à chercher bien loin. Rien que les pages perso de Free par exemple. La version de PHP utilisée est une passoire, et il est à la portée de tout le monde (y'a suffisamment d'exploits tout fait qui traînent) d'aboutir à ceci :
http://newbiecontest.free.fr/

Évidemment, pas la peine de demander quoique ce soit à un service gratuit.