Journal d'investigation en ligne et d'information‑hacking
Édito
par bluetouff

A propos des journées portes ouvertes du groupe UMP au Sénat

Qu'est-ce qu'ils sont taquins ces internautes ! A peine terminé un article à propos du splendide bilan Numérique de l'UMP sur ces 5 dernières années, nous étions informés d'une anomalie, et c'est peu de le dire, sur l'extranet du groupe UMP du Sénat. Notre première réaction, expérience oblige, fut de nous demander si nous n'étions pas sur un serveur de test. Ce n'était pas le cas. Nous avons donc décidé de publier, attendu que l'application était déjà compromise, en parfait libre accès.

Qu'est-ce qu'ils sont taquins ces internautes ! A peine terminé un article à propos du splendide bilan Numérique de l'UMP sur ces 5 dernières années, nous étions informés d'une anomalie, et c'est peu de le dire, sur l'extranet du groupe UMP du Sénat. Notre première réaction, expérience oblige, fut de nous demander si nous n'étions pas sur un serveur de test. Ce n'était pas le cas. Nous avons donc décidé de publier, attendu que l'application était déjà compromise, en parfait libre accès. Techniquement, il faut bien avouer que ce que nous avons vu nous a beaucoup fait rire. Sur le fond, déjà beaucoup moins.

Que s'est il passé pour que ceci soit possible ? C'est une constante à l'UMP, on aime bien s'adresser à des agences de communication pour la réalisation de sites web.

  • On commence donc par s'adresser à une agence de communication pour développer une application. Un peu comme si vous alliez chercher votre baguette chez le garagiste ;
  • L'agence vous propose un design super sympa ;
  • Le design étant à peu près la seule chose sur laquelle le décideur pourra donner son avis sans avoir l'air d'un idiot, on élude allègrement toute considération technique relative à la sécurité élémentaire pour ce type d'application... une application privée, sur un réseau public.

En l'occurrence, l'agence de comm', Artkom, a un très beau site web, original, qui fait sérieux. Il fait en tout cas plus sérieux que le profil public Facebook de son dirigeant pour qui être à poil sur le Net ne semble pas être un problème.

Comme son nom l'indique, c'est beau comme de l'art et ça communique bien. C'est d'ailleurs limite trop beau et trop original pour être propre. Impression confirmée dés que l'on jette un oeil au code source de la page d'accueil où l'on découvre le CSS en dur dans le code HTML

On trouve d'ailleurs assez facilement dans les réalisations de l'agence de communication interactive quelques exemples un peu flippants.

Une agence de communication peut toutefois sous-traiter les développements à une entreprise dont c'est la spécialité. Là visiblement, ce n'était pas trop le cas. L'extranet souffrait de deux problèmes :

  • un développement sale,
  • un administrateur système qui a fait un travail ni fait ni à faire... non en fait même pas c'est possible.

Le développement sale, on en trouve un bout dans le config.php qui a atterri sur Pastebin. Ce qui est intéressant maintenant c'est de comprendre comment. Là encore c'est pas glorieux :

  • aucun test de sécurité n'a été réalisé avant la mise en production. Certes la sécurité zéro défaut n'existe pas... mais là...
  • les pratiques élémentaires de configuration du serveur web n'ont pas été observées. Ceci est tout simplement impossible à envisager si le serveur avait été configuré par un administrateur système, fut-il étudiant en première année.  Les répertoires étaient indexables par les moteurs de recherche, et ils ont été indexés.... salement !

On y trouvait donc des choses censées être privées, ce qui franchement ne sautait pas aux yeux, qui se sont donc retrouvées parfaitement publiques, au demeurant très intéressantes, comme ces argumentaires ou encore comme ces lettres types (ZIP 996Ko).

Mais ce n'est pas tout ! Quand des internautes ont commencé à jouer avec l'extranet, ce dernier a révélé des erreurs grossières de permissions qui ont rendu possible l'envoi de code executable hostile sur le serveur permettant de récupérer le contenu du fichier config.php (avec identifiants et mots de passe).

Et il semble que certains s'en soient donnés à coeur joie, voici quelques exemples de la page d'accueil maintes fois reliftée par quelques farceurs :

Cette dernière était assez drôle et du coup une équipe d'investigation de FranceTV émettait l'hypothèse que l'extranet pourrait (ils n'étaient pas trop surs de leur coup hein...) avoir été piraté

Contre toute attente, l'administrateur du serveur s'est décidé à agir (monitoring applicatif efficace ou superpoke d'un pote sur Facebook lui expliquant qu'il avait un peu merdé... nous ne le saurons jamais). Le voici donc qui passe à l'action :

Sauf qu'il l'a fait vraiment n'importe comment, en posant une page d'accueil sans rien corriger. Du coup un petit farceur lui a fait remarquer, mais pour cela, il fallait sélectionner tout le texte de la page...

Ou tout simplement taper "ump sénat" dans Google

Concluons maintenant sur la palme de la niaiserie concernant ce non événement avec les explications de haut vol du genre  "mais pourquoi sont ils aussi méchants à faire des hacking des internets de l'UMP" de Menly, qui pense avoir trouvé en Anonymous les coupables tout désignés...

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée