Bibliothèque de Reims

La ville de Reims possède plusieurs bibliothèques dont les livres et les abonnées sont centralisés dans une base de données commune. Il suffit de s'abonner une fois pour recevoir une "bibliocarte", une simple carte en plastique avec un code barre et un identifiant unique qui permet d'emprunter des livres dans toutes les bibliothèques de la ville.

Le site internet du réseau de bibliothèque permet de rechercher un livre dans la base de données commune, de connaitre son status (emprunté, disponible...) et de consulter son compte personnel pour connaitre la date de retour des livres qu'on a empruntés, etc.

Un compte personnel, en plus de contenir la liste des livres empruntés par l'abonné, contient un certain nombre d'informations privées le concernant, comme son numéro de téléphone fixe et portable, son nom, son adresse postale et son adresse email.

Là où les choses deviennent intéressantes c'est que, comme vous pouvez le voir ici, il suffit de l'identifiant unique de 5 chiffres inscrit sur la carte de l'abonné ainsi que de sa date de naissance, qui est supposée faire office de "mot de passe", pour accéder à son compte et à ses informations personnelles.

Pas besoin d'avoir fait bac +5 pour se rendre compte qu'utiliser la date de naissance d'une personne comme mot de passe pour son compte n'est pas une très bonne idée, surtout quand on ne permet même pas aux gens de changer leur mot de passe pour un plus sécurisé...

Tous les abonnés ont certainement entre 5 et 95 ans, on peut donc brute-forcer le formulaire de login du site de la bibliothèque en testant les 90 mots de passe possibles pour obtenir l'année de naissance et donc le mot de passe, du compte de l'abonné visé.

On peut très bien imaginer qu'une personne mal intentionnée ou une société sans scrupule décide de récupérer ces données privées pour cibler des acheteurs potentiels en se basant sur les livres qu'ils ont empruntés ou utilisant les adresses mails récupérées pour spamer les abonnées.

Sachant qu'une part non négligeable des habitants de la ville est abonnée à la bibliothèque (plusieurs milliers, voir dizaines de milliers de personnes), je trouve cela franchement décevant qu'aucune précaution ne soit prise pour que ces données ne soient pas accessible au premier venu.

De nos jours les fuites de données personnelles sont de plus en plus fréquente, comme en témoigne ce site. "DataLossDB est un projet de recherche visant à documenter les incidents de perte de données signalés dans le monde entier."
On peut y voir de tout, du simple hack de serveurs à l'employé qui égare un laptop appartenant à sa compagnie ou qui installe un logiciel de P2P sur son ordinateur du bureau et qui met des données sensibles en partage.

Un des moyens qu'aurais la bibliothèque de Reims pour éviter que les données de tous ses abonnées se retrouvent dans la nature serais d'utiliser la date de naissance complète comme mot de passe et pas uniquement l'année de naissance, ce qui passerait le nombre de mot de passe possible d'une centaine à ~36500. Bien sur, il serait toujours possible de brute-forcer un compte en particulier, surtout si le pirate en herbe connais de vue la personne dont il veut pirater le compte et donc peut estimer son âge, c'est pourquoi il faudrait aussi donner la possibilité aux abonnées de changer leur mot de passe et même les inciter à le faire.

Source

Aurevoir les DRM d'iTunes

D'après un communiqué de cette nuit, Itunes retire peu a peu les DRM (Digital Rights Management, terme anglais pour Gestion des droits numériques, la protection technique des droits d’auteur et de reproduction dans le domaine numérique, Wikipedia) de ces morceaux. Il était temps.

Les Internautes pourront ainsi graver sur disque les morceaux qu'ils auront téléchargées légalement via iTunes.

Apple annonce également la fin du prix unique sur iTunes (0.99$). À partir du mois d'avril, les morceaux se vendront 0,69€, 0,99€ ou 1,29€.

Source