A propos des journées portes ouvertes du groupe UMP au Sénat
Qu’est-ce qu’ils sont taquins ces internautes ! A peine terminé un article à propos du splendide bilan Numérique de l’UMP sur ces 5 dernières années, nous étions informés d’une anomalie, et c’est peu de le dire, sur l’extranet du groupe UMP du Sénat. Notre première réaction, expérience oblige, fut de nous demander si nous n’étions pas sur un serveur de test. Ce n’était pas le cas. Nous avons donc décidé de publier, attendu que l’application était déjà compromise, en parfait libre accès. Techniquement, il faut bien avouer que ce que nous avons vu nous a beaucoup fait rire. Sur le fond, déjà beaucoup moins.
Que s’est il passé pour que ceci soit possible ? C’est une constante à l’UMP, on aime bien s’adresser à des agences de communication pour la réalisation de sites web.
- On commence donc par s’adresser à une agence de communication pour développer une application. Un peu comme si vous alliez chercher votre baguette chez le garagiste ;
- L’agence vous propose un design super sympa ;
- Le design étant à peu près la seule chose sur laquelle le décideur pourra donner son avis sans avoir l’air d’un idiot, on élude allègrement toute considération technique relative à la sécurité élémentaire pour ce type d’application… une application privée, sur un réseau public.
En l’occurrence, l’agence de comm’, Artkom, a un très beau site web, original, qui fait sérieux. Il fait en tout cas plus sérieux que le profil public Facebook de son dirigeant pour qui être à poil sur le Net ne semble pas être un problème.
Comme son nom l’indique, c’est beau comme de l’art et ça communique bien. C’est d’ailleurs limite trop beau et trop original pour être propre. Impression confirmée dés que l’on jette un oeil au code source de la page d’accueil où l’on découvre le CSS en dur dans le code HTML
On trouve d’ailleurs assez facilement dans les réalisations de l’agence de communication interactive quelques exemples un peu flippants.
Une agence de communication peut toutefois sous-traiter les développements à une entreprise dont c’est la spécialité. Là visiblement, ce n’était pas trop le cas. L’extranet souffrait de deux problèmes :
- un développement sale,
- un administrateur système qui a fait un travail ni fait ni à faire… non en fait même pas c’est possible.
Le développement sale, on en trouve un bout dans le config.php qui a atterri sur Pastebin. Ce qui est intéressant maintenant c’est de comprendre comment. Là encore c’est pas glorieux :
- aucun test de sécurité n’a été réalisé avant la mise en production. Certes la sécurité zéro défaut n’existe pas… mais là…
- les pratiques élémentaires de configuration du serveur web n’ont pas été observées. Ceci est tout simplement impossible à envisager si le serveur avait été configuré par un administrateur système, fut-il étudiant en première année. Les répertoires étaient indexables par les moteurs de recherche, et ils ont été indexés…. salement !
On y trouvait donc des choses censées être privées, ce qui franchement ne sautait pas aux yeux, qui se sont donc retrouvées parfaitement publiques, au demeurant très intéressantes, comme ces argumentaires ou encore comme ces lettres types (ZIP 996Ko).
Mais ce n’est pas tout ! Quand des internautes ont commencé à jouer avec l’extranet, ce dernier a révélé des erreurs grossières de permissions qui ont rendu possible l’envoi de code executable hostile sur le serveur permettant de récupérer le contenu du fichier config.php (avec identifiants et mots de passe).
Et il semble que certains s’en soient donnés à coeur joie, voici quelques exemples de la page d’accueil maintes fois reliftée par quelques farceurs :
Cette dernière était assez drôle et du coup une équipe d’investigation de FranceTV émettait l’hypothèse que l’extranet pourrait (ils n’étaient pas trop surs de leur coup hein…) avoir été piraté
Contre toute attente, l’administrateur du serveur s’est décidé à agir (monitoring applicatif efficace ou superpoke d’un pote sur Facebook lui expliquant qu’il avait un peu merdé… nous ne le saurons jamais). Le voici donc qui passe à l’action :
Sauf qu’il l’a fait vraiment n’importe comment, en posant une page d’accueil sans rien corriger. Du coup un petit farceur lui a fait remarquer, mais pour cela, il fallait sélectionner tout le texte de la page…
Ou tout simplement taper « ump sénat » dans Google
Concluons maintenant sur la palme de la niaiserie concernant ce non événement avec les explications de haut vol du genre »mais pourquoi sont ils aussi méchants à faire des hacking des internets de l’UMP« de Menly, qui pense avoir trouvé en Anonymous les coupables tout désignés…
Billets en relation :
67 
75 
17 
S'abonner
Si vous avez apprécié cet article, abonnez vous gratuitement pour ne plus rien manquer.
Cyber-attaque éhontée des bronzés Anonymes, sous-fifres mélenchonistes, pour peut qu’ils aient pas violé une petite vieille avant de s’être attaqué à notre bon président…
OMAGAD Menly quand même…
le même level en informatique je présume ?
un bon gros lol cet après-midi, merci à vous.
Mais..mais..Serait-on en droit de se demander si les subventions du numérique en France sont bien utilisées? En tout cas j’ai bien ri!
J’ajouterais que depuis le site est « FORBIDDEN »! re lol
voilà qui a bien égayé ma journée (techniquement), merci
Merci pour ce point LOL du lundi
J’aimerais bien voir la facture de l’agence de comm’ pour l’extranet. Après tout, c’est un peu moi qui paye
Je me demande d’ailleurs combien je serais payé si dans mon boulot j’avais le même niveau de compétence…
Le jour ou ils se decideront a mettre le prix qu’il faut dans la securite informatique n’est pas encore arrive, semble-t-il.
A ce stade, le prix de la « negligence caracterisee » leur revient haut-la-main. Ils ne sont pas les seuls, je tiens a les rassurer mais:
- ils sont recidivistes, et la situation empire a chaque nouvelle aventure; (bon, aucune donnee trop confidentielle sur ce coup-la, ca change)
- et surtout, dans le meme temps, ils nous ont cree un delit de « negligence caracterisee de securisation d’acces Internet »… alors qu’ils ne sont pas capables de trouver un prestataire pour monter un site web avec un strict minimum de securite… (On ne leur demande meme pas de faire ca eux-memes, contrairement a eux.)
Au moins, on rigole un bon coup a chaque fois. C’est toujours ca.
Oh mon dieu, ces argumentaires ><
Si ils ne savent même plus argumenter par eux-mêmes (ce pour quoi ils sont censés avoir été formés, normalement), alors que savent-ils faire ???
Pas mal, le .doc sur les armes : on préfère guérir plutôt que prévenir…
À mettre en relation avec ces histoires de milice ?
lol… c’est aussi l’admin de footineo l’ emmanuel bocquet de menly.fr qui a pondu cet ‘article’ ! un expert, c’est sûr !
Voyant passer l’article de Menly sur twitter, j’avais cru bêtement à de l’ironie…
Comme pour les vidéos de campagne de l’ump… toi aussi, hein ? On s’y laisse prendre à chaque fois. On a trop foi en l’humanité
y a des jolies images d’ »art »
http://www.artkom-interactive.com/art_contemporain/data/photos/photo_1_1300897181fc893_3.jpg
Incroyable !!! ils sont vraiment trop fort !!!
http://www.artkom-interactive.com/
Oui mais attention le site est « réservé aux gens azerty »
Rahhhh z’avez occulté la redirection sur youporn blue !
T’es même sur le Figaro, c’est la consécration !
Question:
Ca veut dire quoi cette image ?
http://reflets.info/wp-content/uploads/2012/03/Hat-Rainbow-237×250.jpg
Je me souviens d’avoir des images avec ce genre de chapeau bluetouff
C’est une private joke à destination de la presse qui aime ce manichéisme dans la catégorisation des hackers blackhat vs whitehat, j’avais sorti ça lors d’une interview l’année dernière, le concept du « rainbow hat »…
@Bluetouff
Tu as aussi un trou ici.()ump maroc???? Comme quoi les agences de comm conaissent pas grand chose
à la config. Apparement le robot.txt est inexistant.
Pour une agence de comm c’est plutot pathétique
http://interfacedev.com/ump/uploads/
http://interfacedev.com/ump/uploads/image/
Le robots.txt techniquement on s’en fout, ce qui est plus grave c’est l’absence de .htaccess
Il est absent sur le site? interface dev?
.
J’y ai même pas fait gaffe
En même temps je commence à m’intéresser à la sécurité que depuis très (très)peu de temps.
Je n’ai pas encore les bons reflexes, et les bonnes conaissances(robot.txt..).
Par exemple je sais que pour le .htaccess il devrait être logiquemebnt présent à la racine, mais je ne sais pas le débusquer.
Je suis surpris que le slogan de Arkom ne t’ai pas fait tiquer
Artkom interactive Le numérique est un média, il convient de savoir l’optimiser et l’utiliser.
Merci
Ah cool ! Je peux télécharger la chanson « Larga de Bobeira » de Michel Telo ! Merci !
J’suis vachement déçu quand même, la presse a raté la redirection youporn et le « I fucking love cocain »
Moi je leur conseil un petit PDF de nos amis de la NSA
Pour commencer c’est plutôt pas mal.
Guide to the Secure Configuration of
Red Hat Enterprise Linux 5 :
http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf
La presse devrait se renseigner (sur reflets.info ?) avant de conclure au piratage.
Ils n’investiguent vraiment rien avant de publier bêtement.
Si y’en a qui veulent une musique à écouter avec tout ça: http://trololololololololololo.com
Wanna lulz ?
Google : (inurl: »*.gouv.fr ») (inurl: ».php?*=* ») (intext: » SQL Error: » | intext: »Incorrect syntax near » | intext: »You have an error »)
Bon, c’est vrai qu’on rigole bien en ce moment.
Mais personnellement, ça me donne envie de sortir ma batte de baseball, en fait.
Cette bande de nazes ne me fait plus rire.
C’est la même clique qui nous pond des lois, des décrets, qui concernent la santé, l’éducation, la défense, l’internet, etc… du copinage à l’état pur, de l’argent public, du m’enfoutisme aggravé, des indignations de gros nullos lorsqu’ils se font gauler.
Putain, virons-les (à défaut de les fusiller sévèrement, comme disait l’autre).
On dirait que Hugues Morvan à changer sa photo de profil fb et à enlevé le lien vers le site web de sa societé. Il pourrait s’en prendre à google, ses fesses sont toujours indexées : http://ppfr.it/75t
Etrange la gestion de l’emplacement du commentaire en fonction de la date…
Questions corrélatives. Combien a touché l’agence de com avec le connard à poil pour patron ? Le contrat a t-il été soumis à mise en concurrence ?
Sur le modèle « cathago delenda est », je rappelle encore une fois qu’on ne sait toujours le montant du patrimoine de Copé, ni s’il a vraiment cessé ses fonctions privées comme il avait promis de le faire…
Incrocyable mais vrai, le peuple Français se demande ou va son argent , mais dans 2 jours cela risque de changer , en tout cas cela sent l’alternance !
D’ici quelques années nous verrons si un autre parti peut mieux faire pour rendre la vie des concitoyens meilleure !