The sad case of Ms. Paris Hilton’s personal information, stored in her mobile, made publicly available by some cracker (yes I believe he is using it with a profit motive) is known to all. La triste affaire de Mme Paris Hilton de renseignements personnels, stockés dans son mobile, rendus publics par certains pirate (oui je crois qu'il l'utilise avec un but lucratif) est connue de tous. We will look at the lessons to be learnt from this fiasco. Nous examinerons les leçons à tirer de ce fiasco.

It was not only an embarrassment for her but also a cause for concern for everyone who confided their personal information to her. Il n'était pas seulement un embarras pour elle, mais aussi une source de préoccupation pour tout le monde qui leur a confié des renseignements personnels à elle. The situation is hard to contain but it could have been worse, much worse. La situation est difficile à contenir, mais il aurait pu être pire, bien pire. She could have had her financial information stored in her mobile. Elle aurait pu avoir ses informations financières stockées dans son mobile.

The basic idea of storing personal information in a mobile is not wrong. L'idée de base de stockage de renseignements personnels dans un mobile n'est pas un mal. Nor is the idea to make it accessible through a web site by T Mobile. N'est pas non plus l'idée de le rendre accessible par l'intermédiaire d'un site Web de T Mobile. The problem lies elsewhere. Le problème est ailleurs.

Weak Single Layered Authentication La faiblesse de couches d'authentification unique

First they used a weak single layered authentication system to give access to the account, which may potentially contain very crucial information. Tout d'abord, ils utilisé une faible couche unique système d'authentification de donner accès au compte, qui mai potentiellement très contiennent des informations cruciales.

Normally in any web-based applications when a password-reset request is made and the test question is correctly answered, the actual password or reset password is sent via email to the registered email address. Normalement, dans tous les Web-based applications quand un mot de passe de réinitialisation demande est faite et le test est question répondu correctement, le mot de passe ou réinitialisation de mot de passe est envoyé par courrier électronique à l'adresse email enregistrée. AFAIK it wasn’t the case in this web application! AFAIK, il n'a pas été le cas dans cette application web! The web site access was immediately provided. Le site Web l'accès a été fournie immédiatement.

The Problem with Secret Question based authentication Le problème avec Secret d'authentification basées sur la question

Secondly they used the now standard format of providing an answer to a secret question to reset the password. En second lieu ils maintenant utilisé le format standard de fournir une réponse à une question secrète afin de réinitialiser le mot de passe. Now if someone tries to guess my pet’s name, unless he is my neighbor or close relative, it would be almost impossible to guess. Maintenant, si quelqu'un essaie de deviner mon animal de compagnie du nom, à moins qu'il ne soit mon voisin ou un parent proche, il serait presque impossible à deviner. Not so in the case of Ms. Hilton. Ce n'est pas le cas dans le cas de Mme Hilton. She is a well-known celebrity and her personal details are fairly well known to enthusiasts. Elle est bien connu la célébrité et ses données à caractère personnel sont assez bien connus des amateurs. That makes such scheme much easy to decipher. Cela rend ce régime très facile à déchiffrer. Thanks to paparazzi press (in the name of press freedom and the spurious right of the need of the public to know) the personal life of so-called celebrities are very much exposed. Merci de paparazzi de presse (au nom de la liberté de la presse et le droit fallacieux de la nécessité du public de savoir) la vie personnelle de soi-disant célébrités sont très exposés. It is another issue whether press should have such access. Il est une autre question de savoir si la presse doit avoir accès à ces réseaux. Personally I think it is a heinous activity to forcefully delve into ones personal space without explicit permission. Personnellement, je pense que c'est une activité odieux à force plonger dans ceux espace personnel sans autorisation explicite. Being a celebrity doesn’t change the equation. Être une célébrité ne change pas l'équation. However at the core the issue is how secure such scheme is when faced with an attacker with inside information. Toutefois, à la base la question est de savoir comment assurer ce régime est face à un attaquant disposant d'informations privilégiées. The reality is that it is not secure at all! La réalité est qu'il n'est pas sécurisé du tout!

Paris Hilton T-Mobile: Lessons Learnt Paris Hilton T-Mobile: les enseignements

There are few interesting lessons to be learnt by any web application provider from this fiasco. Il ya quelques enseignements intéressants à tirer de toute application Web de fournisseur de ce fiasco.

  • Do not provide a simple single layered protection for access to sensitive accounts. Ne pas fournir une simple couche de protection unique pour l'accès aux comptes sensibles. It is ok to be over-protective even at the expense of being a pain sometimes. Il est ok à plus de protection, même au détriment d'une douleur parfois.
  • Allow users to choose their secret question and at least two of them. Permet aux utilisateurs de choisir leur question secrète et au moins deux d'entre eux. Ensure they are different. Veiller à ce qu'ils sont différents. Tell them the consequences of choosing a well known question. Dites-leur les conséquences de choisir une question bien connue.
  • Use the registered email address only for communication like send the link to reset password in their email. Utilisez l'adresse email enregistrée uniquement pour la communication comme d'envoyer le lien pour réinitialiser le mot de passe dans leur e-mail. However never send the actual password in the email. Mais jamais envoyer le mot de passe dans l'email.
  • Do not inform the user any details when authentication attempt fails like don’t tell them if their login or password is wrong. Ne pas informer l'utilisateur des détails lorsque l'authentification échoue comme ne pas leur dire si leur login ou mot de passe est erroné. Give them a generic message. Donnez-leur un message générique.
  • Think about locking access to the account after specified number of attempts. Pensez à verrouillage de l'accès au compte après nombre de tentatives. Locking could be soft as in restoring access to account after pre-defined time period or hard as in requiring a phone call or fax to restore the access. Verrouillage pourrait être doux à rétablir l'accès au compte après pré-période de temps définie comme difficile ou en exigeant un appel téléphonique ou un fax à rétablir l'accès. Choose based on sensitiveness of the data. Choisissez basée sur la sensibilité des données.

Insider Job Offre d'initiés

The lesson for any corporation in general is to realize the importance of not only securing from outside but also from inside. La leçon pour toute société en général est de réaliser l'importance de garantir non seulement de l'extérieur, mais aussi de l'intérieur. Insider hacking can be much more serious than any outside attempts. Délit d'initié le piratage peut être beaucoup plus grave que tout en dehors de tentatives. In this case the cracker was strangely an insider because he knew personal details of the Ms. Hilton. Dans ce cas, le pirate a été initié une étrange parce qu'il savait données personnelles de Mme Hilton. Unfortunately for movie stars half the world are their insiders! Malheureusement pour les stars de cinéma moitié du monde en sont les initiés! The corporations are lucky in this respect if only they would put some basic security in place. Les sociétés ont la chance, à cet égard, si seulement ils en fait certaines de base de sécurité en place. An old army paradigm of information access on a need-to-know basis is equally applicable to insiders. Une ancienne armée paradigme de l'accès à l'information sur la nécessité d'en connaître est également applicable à des initiés.

Questions to ask Questions à poser

At this point you may be thinking that your corporation is well protected from inside. À ce stade, vous mai penser que votre société est bien protégée de l'intérieur. Can you answer the following questions: Pouvez-vous répondre aux questions suivantes:

  • Who in your company has access to your Source Code Management System? Qui dans votre entreprise a accès à votre code source Système de gestion?
  • Can a programmer access source code not belonging to his project? Puis un programmeur accès code source n'appartenant pas à son projet?
  • Can QA/Marketing/Contractors/Temps view/modify source code? Puis-AQ / marketing / entrepreneurs / Temps visualiser ou modifier le code source? What are their levels of access? Quels sont leurs niveaux d'accès?
  • Where do you store your customer information? Où allez-vous stocker vos informations? Who manages access control policies to such sensitive files? Qui gère les politiques de contrôle d'accès à ces dossiers sensibles? Is it centrally managed? Est-il géré de manière centralisée?
  • Are access to corporate information switched off (immediately) before an employee is notified about termination of employment? Sont l'accès à l'information des sociétés éteint (immédiatement) avant un employé est informé de la cessation d'emploi?
  • Can a terminated employee forward his emails to another outside account before leaving? Puis un employé mis fin à son e-mails à un autre, en dehors compte avant de partir? Is the process supervised? Le processus est-il supervisé?
  • Are your hardware resources centrally managed? Est-ce que vos ressources matérielles gestion centralisée? Do you restrict access to CD-RW, Follpy Drives? Avez-vous limiter l'accès au CD-RW, Follpy lecteurs?
  • Is internet access monitored? L'accès Internet est-elle suivie?

If you are unsure of any of the questions above seriously think about doing a security audit as soon as possible. Si vous n'êtes pas sûr de l'une quelconque des questions ci-dessus sérieusement penser à faire un audit de sécurité dans les plus brefs délais. Damage control is very hard with an extensive insider breach. En cas d'avarie est très difficile avec une large violation d'initiés. You may not even know till its too late what information have been compromised. Vous mai sais même pas jusqu'à la fin de sa trop quelles informations ont été compromises. You can also think about intrusion testing from reliable sources. Vous pouvez également penser à l'intrusion d'essais provenant de sources fiables.