Prigioni, esercito, Hermès: 844 GB di dati critici in giro, la società francese DC Conseil smascherati dagli hacker

> Le pirate se paye même le luxe de donner des conseils techniques, affirmant que les zones noircies sur certains documents PDF (le caviardage) peuvent être supprimées d’un simple clic avec un éditeur classique. Cette erreur de débutant prouve que des données ultra-sensibles ont été « protégées » de manière superficielle, sans réel traitement cryptographique.

C’est pas précisément ce dont tout le monde se moquait dans le dossier Epstein, allant jusqu’à se demander si c’était pas des agents en interne qui faisaient exprès de mal faire leur job tellement c’était un boulot “d’amateur”?

Y’a une autre source??

Car si c’est avéré, putain ça craint. Un vrai scandale.

Florilège de se qui se retrouve donc sur le net: Plans détaillés d’installations sensibles, documents d’identité d’agents, etc…

Edit: sur son site, le cabinet en question admet un incident, sans trop de détails…

>En raison d’un incident de sécurité identifié et en cours de diagnostic, DCE Conseil vous rappelle les mesures de sécurité et de vigilance à mettre en oeuvre de manière constante pour assurer la plus haute protection de vos informations et données personnelles et limiter les risques inhérents à ces incidents de cybersécurité.

Ils se permettent même de donner des conseils en cybersécurité.

>Cette fois, la cible est DCE Conseil ([dceconseil.fr](http://dceconseil.fr/)), un cabinet d’ingénierie et de conseil technique spécialisé dans l’audit énergétique, la gestion des fluides et la maintenance de bâtiments complexes. En raison de sa position de prestataire pour des sites sensibles, l’entreprise constitue ce qu’on appelle une « porte dérobée » idéale : un maillon moins protégé que ses clients prestigieux, mais détenant les clés de leurs forteresses. Le contenu de la fuite donne le vertige tant il touche à la sécurité nationale. L’examen des fichiers révèle une immersion totale dans l’administration pénitentiaire, avec des audits détaillés concernant les prisons de Fleury-Mérogis, Argentan ou encore Condé-sur-Sarthe, **mais aussi d’autres sites gérés par le prestataire SODEXO**. 

Je n’arrive pas à savoir à la lecture de l’article si la boite de conseil bossait direct pour l’Etat, ou pour Sodexo qui servait de prestataire de service à l’Etat… et franchement je ne sais pas quel est le pire, que les cabinets diligentés par l’Etat soient des brèles ou que les contrats publics s’assurent de la sécurité informatique du cocontractant mais ne prévoit pas de règles pour un tiers éventuel.
Il y a toujours la possibilité que les règles soient strictes sur le papier, mais que personne ne les respectent.

>Ce volume colossal indique que l’extraction a duré des semaines, sans qu’aucun système d’alerte ne détecte ce siphonage massif, trahissant une absence flagrante de segmentation du réseau interne.

Parce que qu’une intrusion soit possible ce n’est pas étonnant : des semaines à siphonner les données sans réaction; là ça me semble être de l’amateurisme complet à notre époque pour une boite qui est autre chose qu’une PME.

Rien d’étonnant à cela, quand on sait que même des services comme la DGSE utilise des logiciels comme Palantir… Techniquement ça veut dire que les agences comme la NSA ont littéralement des failles zero-day montées en pipeline de datas sur les administrations les plus sensibles du pays.

Donc si on résume, après avoir réussi à pirater des données d’une bonne partie de la population, maintenant c’est les sites sensibles. La France à poil en faite. En tant que citoyen lambda on peut faire quelque chose? Comment on peut mitiger le problème? où il faut juste réussir à vivre avec le faite que sa vie est disponible pour ceux que cela pourrait intéresser?