Journal d'investigation en ligne et d'information‑hacking
par bluetouff

#DoxUMP : ça sent mauvais, très mauvais...

L'affaire du piratage de l'UMP a mis de nombreux parlementaires en émoi. Ils semblent découvrir, avec  la presse, qu'il est possible de pirater des données, que ça fout vachement la trouille, bref qu'Internet est plat et que si on s'approche trop près du bord, on va tous tomber dans le vide. Comme vous devez vous en doutez, chez Reflets, ça nous fait doucement rigoler.

L'affaire du piratage de l'UMP a mis de nombreux parlementaires en émoi. Ils semblent découvrir, avec  la presse, qu'il est possible de pirater des données, que ça fout vachement la trouille, bref qu'Internet est plat et que si on s'approche trop près du bord, on va tous tomber dans le vide. Comme vous devez vous en doutez, chez Reflets, ça nous fait doucement rigoler. Nous vous faisions récemment part de nos quelques questions suite à cette divulgation de données, il faut croire que nous sommes bien les seuls à nous les poser. Et le plus surprenant là dedans, c'est que les concernés eux-mêmes semblent se refuser à se les poser. Toute cette histoire est franchement curieuse... très curieuse.

Rappelons deux ou trois bases, histoire d'être bien assurés que nous parlons de la même chose.

Internet est un espace public

Ça, c'est la base de la base. Internet est un réseau public et ouvert. Il n'appartient à personne, ou plutôt à tout le monde. Chaque internaute constitue un noeud du réseau et il a pour caractéristique de pouvoir recevoir des informations, mais surtout, et ça c'est nouveau, d'en émettre au plus grand nombre. Je vous parle de "nouveau" en ce sens ou son (très) lointain cousin, le Minitel®, était la propriété d'une entreprise, l'opérateur historique, qui conservait le droit de vie et de mort sur tout service télématique, donc sur toute diffusion d'information à destination du public. Comprenez que si vous vouliez vous créer un blog sur Minitel®, il fallait payer une dîme à France Télécom pour avoir le droit de raconter votre vie. Internet sur ce point a totalement modifié la donne, nul besoin pour un particulier ou une entreprise de payer à un tiers l'utilisation d'un réseau qui serait sa propriété. Mais la différence n'est pas qu'économique, elle impacte également le rapport des internautes avec l'information qu'ils consomment mais aussi et surtout avec celles qu'ils diffusent.

La nature publique du réseau Internet fait qu'il est peuplé d'internautes de tous âges, de toutes catégories socio-professionnelles, de toutes obédiences politiques ou religieuses (...). Comme c'est le cas dans un espace public matérialisé (comme une rue, ou un pays), il arrive que les personnes qui le peuplent ne soient pas d'accord entre elles. Elle se livrent donc, comme elles le feraient au bistrot du coin, dans un premier temps à quelques joutes verbales... elles s'expliquent, elles échangent, et parfois elles en viennent aux mains. Ce qu'on appelle un bistrot, dans la vie matérialisée, sur le Net, de notre temps à nous les trentenaires, on appelait ça un canal IRC, un BBS, une mailing list, usenet, un forum...

Aujourd'hui web 2.0 oblige, on appelle ça Facebook, Twitter... Pastebin. Un site Web bien tout centralisé où les gens se connectent sur le même serveur pour dialoguer entre eux... comme on le faisait à l'époque du Minitel... Benjamin Bayart, vous expliquerait à raison qu'on fait de moins en moins d'Internet, mais qu'on fait du Minitel® en 16 millions de couleurs. Mais par delà l'aspect technique de la chose Internet ou pas Internet, ce qui est intéressant dans notre réflexion, c'est que ces sites, ces réseaux, offrent de fait une audience et la garantie d'être entendus pour peu que ce que l'on raconte présente un intérêt quelconque.

 

Sur cet espace public, il y a des informations qui sont stockées et qui circulent

On peut distinguer sur Internet deux grands types d'informations :

  • Les informations publiques, sensées être accessibles à tous.
  • Les communications interpersonnelles privées, sensées être portées à la connaissance exclusive de leur émetteur et de leur(s) récepteur(s).

Il y a en fait une troisième catégorie d'informations, ce sont les informations sensées être non publiques, mais qui par le biais d'une négligence, caractérisées ou pas, le deviennent.

En théorie, comme vous pouvez le constater, tout ceci est vraiment très simple. Sauf qu'en pratique, comme nous venons de voir qu'Internet est un réseau public et ouvert, il arrive que certaines informations qui n'étaient pas sensées être publiques le deviennent.

Prenons l'image d'une personne qui, dans une entreprise, écouterait à la porte d'un bureau, une conversation entre deux de ses supérieurs planifiant un dégraissage de personnel. Puis, direction la cafétaria où notre employé indélicat répète à ses collègues les propos tenus lors de la conversation qu'il a surpris. Pour peu qu'un délégué syndical traîne à la cafétéria, le lendemain, c'est le piquet de grève.

Dans notre exemple du bureau, il y a une porte fermée qui indique à notre employé espion que la communication ne lui est pas destinée. Il viole donc une correspondance interpersonnelle, puis en rapporte publiquement le contenu à ses collègues.

Et bien imaginez-vous qu'Internet, c'est comme la plus grande entreprise du monde... sauf que c'est un open space. Pas une porte, pas une cloison... rien. Sur Internet, l'immense majorité des informations qui y circulent y passent en clair, elles ne sont pas chiffrées. Un peu comme si dans notre méga bureau, on se faisait circuler un post-it de personnes à personnes jusqu'à pouvoir atteindre son destinataire.  Si vous voulez vous assurer que personne d'autre que le destinataire ne lira ce qui est écrit sur le post-it, c'est tout de suite un peu compliqué.

  • Soit vous faites complètement confiance à vos collègues qui vont acheminer votre post-it pour ne pas qu'ils le lisent, ou pire, qu'ils modifient ce qui est écrit sur le post-it.
  • Soit vous trouvez un moyen (une enveloppe cachetée à la cire) attestant que l'information lisible sur le post-it ne l'était pas pendant son transport.

Vous pensez que votre destinataire, et seul votre destinataire, a lu le message ? Vous vous pensez sauvé ? Vos collègues ne sauront pas que vous fomentez un plan social et que vous allez virer 30% des effectifs ? ... et voilà que votre destinataire le froisse à peine et le jette à côté de la poubelle sans faire attention. Le collègue le plus proche du destinataire, son voisin d'open space, par pure politesse, se baisse et ramasse le post-it pour le mettre à la poubelle. Toujours par pure politesse, il s'assure qu'il ne s'agit pas de quelque chose d'important et que ce post-it est bien destiné à atterrir dans la poubelle... il ne peut donc s'empêcher d'en lire son contenu et il découvre avec stupéfaction que peut être lui même et 30% de ses collègues vont prochainement être virés. Il glisse le post-it dans une nouvelle enveloppe cachetée à la cire qu'il destine cette fois ci à son délégué syndical. Et dés le lendemain matin, c'est toute l'entreprise qui découvre dans sa messagerie une communication du syndicat révélant le contenu du post-it.

Maintenant que nous venons de dépoussiérer ces quelques notions sur la Nature profonde d'Internet, à savoir une formidable machine à copier, répliquer et diffuser des données, nous allons pouvoir passer au plat de résistance. Qu'a t-il bien pu se passer pour qu'un fichier avec foule de détails très personnels sur les parlementaires UMP se retrouve diffusé sur le site Pastebin ?

 

La fuite 

Beaucoup de fuites sur Internet atterrissent sur le site Pastebin (le phénomène n'est d'ailleurs pas récent), mais avant de blâmer bêtement ce site et que Claude Guéant demande son blocage, il y a quelques questions à se poser.

  • Qui a constitué ce fichier ?

C'est un véritable mystère, l'UMP a dans un premier temps nié en être à l'origine, et pour cause, de nombreux détails sont parfaitement inutiles à l'exercice des fonctions des fichés. Reflets.info, en contact avec des journalistes qui évoquaient la possibilité d'un fichier émanant des renseignements a tout de suite infirmé cette hypothèse puisque le formatage des fichiers visibles sur Pastebin nous a tout de suite fait penser à un export de base de données SQL, destiné à alimenter en données une application web. Les renseignements, à notre connaissance, n'ont pas pour pratique de mettre des données sensibles en format web, et surtout, sur une application accessible par Internet. Le député Tardy a évoqué une piste intéressante, celle de la compromission d'une application interne de d'Assemblée Nationale. Rebondissement cette nuit, les auteurs supposés du piratage publient un communiqué sur Pastebin donnant des détails très intéressants sur les modalités de la compromission. Ce communiqué confirme nos soupçons. Les données n'émaneraient pas d'un site institutionnel, mais bien d'une (ou plusieurs) application(s) de l'UMP.

  • Pourquoi aucun des fichés ne s'est ému de l'existence même de ce fichier ?

C'est pour moi le plus LE plus gros mystère. Une personne normalement cortiquée, avant même de s'offusquer de la diffusion au public de ce fichier devrait se demander qui a constitué ce fichier et surtout dans quel but. Même le Député Tardy qui s'intéroge légitimement sur les modalités techniques qui ont conduit à cette fuite ne semble pas plus que ça ému de l'existence de ce fichier. Tout ceci ne me parait pas du tout normal, et pour tout vous dire, j'entrevois deux hypothèses :

  1. Les fichés ont eu pour instruction de se taire
  2. Ils étaient tous au courant de son existence et font comme s'ils ne l'étaient pas

... dans un cas comme dans l'autre il y a baleine sous gravillon.

Intuition encore appuyée par le fait qu'aucun des fichés n'a pour le moment demandé de comptes à la société Mes-Conseils, qui à en croire le communiqué des supposés auteurs hébergeait ce fichier.

  • Dans quel but ce fichier a t-il été constitué ?

Cette question là aussi est un mystère. Les parlementaires fichés avec foule de détails (noms et âge des enfants, adresses mail personnelles @wanadoo.fr ... comprises), se sont indignés de la mise en ligne publique de ces données, mais combien d'entre eux ont marqué leur étonnement devant ces détails, qui encore une fois, sont parfaitement inutiles dans le cadre de l'exercice de leurs fonctions.

  • Comment celui ci s'est retrouvé sur le Net, à la merci d'une vulgaire injection SQL ?

C'est là que ça devient particulièrement intéressant. Le communiqué des auteurs présumés du piratage pointent du doigt mes-conseils.fr. Ce matin, lors de notre première visite, le site était encore accessible. Allez savoir pourquoi, à l'heure actuelle, il ne l'est plus.... enfin plus tout à fait car on y retrouve des "bouts". Comme l'accès à un Webmin (un clicodrome principalement utile aux administrateurs systèmes peu à l'aise avec ... le système... oui c'est gênant) d'un serveur OVH "kimsuffi". Et vu la peinture observée, le Webmin en question n'est probablement pas à jour. Il est d'ailleurs toujours accessible ici : https://mcis.mes-conseils.fr:10000. Soupçons confirmés au premier petit scan de port permettant d'afficher les versions des logiciels utilisés... ce serveur est une passoire qui semble avoir servi de cible d'entraînement au tir dans un camp pour GI américains.

`

Interesting ports on ks360061.kimsufi.com (91.121.161.29):

Not shown: 989 closed ports

PORT      STATE    SERVICE      VERSION

21/tcp    open     ftp          ProFTPD 1.3.1rc2

22/tcp    open     ssh          OpenSSH 4.7 (protocol 2.0)

|  ssh-hostkey: 1024 f8:fd:2b:fb:6a:44:2c:4d:d7:73:62:71:7b:25:04:14 (DSA)

|_ 1024 3c:76:08:72:ea:40:d6:6d:61:56:fe:8e:07:40:6b:20 (RSA)

25/tcp    open     smtp         qmail smtpd

|  smtp-commands: EHLO ks360061.kimsufi.com, PIPELINING, STARTTLS, 8BITMIME, SIZE 0

|_ HELP qmail home page: http://pobox.com/~djb/qmail.html

53/tcp    open     domain       ISC BIND 9.4.1-P1

80/tcp    open     http         Apache httpd 2.0.59 ((Unix) mod_ssl/2.0.59 OpenSSL/0.9.8g)

|_ html-title: Serveur OVH

110/tcp   open     pop3         qmail pop3d

|_ pop3-capabilities: capa APOP

143/tcp   open     imap         Courier Imapd (released 2005)

|_ imap-capabilities: THREAD=ORDEREDSUBJECT QUOTA STARTTLS THREAD=REFERENCES UIDPLUS ACL2=UNION SORT ACL IMAP4rev1 IDLE NAMESPACE CHILDREN

443/tcp   open     ssl/http     Apache httpd 2.0.59 ((Unix) mod_ssl/2.0.59 OpenSSL/0.9.8g)

|_ sslv2: server still supports SSLv2

|_ html-title: Serveur OVH

445/tcp   filtered microsoft-ds

3306/tcp  open     mysql        MySQL 5.0.44

|  mysql-info: Protocol: 10

|  Version: 5.0.44

|  Thread ID: 277459

|  Some Capabilities: Connect with DB, Compress, Transactions, Secure Connection

|  Status: Autocommit

|_ Salt: eJ!dXh&~k}Tj:~2y.t$P

10000/tcp open     http         Webmin httpd

|_ html-title: Site doesn't have a title (text/html).

Device type: general purpose

Running: Linux 2.6.X

OS details: Linux 2.6.13 - 2.6.27

Network Distance: 8 hops

Service Info: OS: Unix`

 

Rien ne semble à jour sur cette machine et le nombre de vulnérabilités potentielles qu'on y trouve est assez impressionnant (Apache, ProFTPD, MySQL et même SSH... sont vulnérables à diverses attaques, il n'y a que l'embarras du choix !). Si le serveur qui contenait les données qui ont fuité ressemble à celui ci, il n'y a rien d'étonnant à ce que ce dernier ait été compromis.

Quand on cherche à dire bonjour au domaine Mes-Conseils.fr, on voit bien qu'il y a eu comme un vent de panique. Le domaine affiche comme adresse IP un beau 1.1.1.1 :

$ ping mes-conseils.fr

  PING mes-conseils.fr (1.1.1.1) 56(84) bytes of data.

... on comprend aisément pourquoi.

Mes-conseils.fr semble également héberger et réaliser une application à destination des parlementaires, on en trouve aisément des traces sur Webarchive. On peut supposer que cette application contient une partie des informations qui ont fuité, mais il est également probable, toujours selon le communiqué des présumés auteurs, que d'autres applications, dont le mot de passe SQL serait selon eux le même partout, aient révélé beaucoup, beaucoup d'informations...

Sans audit particulièrement poussé, on se rend compte que la machine en question ressemble à s'y méprendre à ce qu'un bon administrateur système appellerait une "machine poubelle", mal administrée et avec une maitrise plus que relative du patrimoine informationnel qui s'y trouve. Et là ça commence à devenir assez gênant vu la nature des données que la société semble héberger à en croire le communiqué revendiquant la fuite (le communiqué fait état de mots de passe donnant accès à des applications ou aux boites mails des parlementaires sur des applications internes de l'Assemblée Nationale ou du Sénat). La situation est particulièrement grave, les systèmes d'information du Sénat et de l'Assemblée Nationale doivent à ce jour être considérés comme compromis. Concrètement des personnes qui exploiteraient ces données de manière malveillante pourraient par exemple altérer ou modifier des propositions de lois, à peu près tout et n'importe quoi peut être envisagé. Oui, il faut vraiment être le dernier des crétins pour stocker massivement en ligne des informations si sensibles, sur une machine aussi percée. C'est totalement irresponsable.

 

Et qu'est-ce qu'on fait maintenant ?

Passons maintenant à quelque chose de non moins intéressant, à savoir les réactions des concernés.

Il y a d'abord les réactions panurgiennes indignées "on a porté plainte contre X". Elles prêtent effectivement à sourire, car comme nous le rappelions hier, et d'ailleurs comme le rappelle le communiqué des présumés auteurs, le fichage inconsidéré, comme celui de 45 millions de français qui n'ont rien à se reprocher et qui a été voté une nuit en catimini par seulement 11 députés... c'est dangereux, particulièrement quand il est fait n'importe comment, par n'importe qui, sans aucun contrôle. Gageons que ce petit incident remettra quelques pendules à l'heure.

En dehors du député Lionel Tardy, pas un seul ne semble s'interroger sur l'ensemble de mauvaises pratiques qui ont conduit à ce qui est arrivé :

  • constitution du fichier avec foule de détails inutiles,
  • sécurité quasi inexistante,
  • probablement aucun audit,
  • aucune évaluation des risques,
  • choix de prestataire manifestement hasardeux ...

Mais ceci n'est pas non plus nouveau, l'UMP a toujours eu cette fâcheuse tendance à s'adresser à des agences de communication pour la réalisation de ses sites web. Iriez-vous acheter votre pain chez le garagiste ?

Parmi les réactions, comment ne pas aborder, avec tout le second degré qu'elle mérite, la réaction de la député Marland-Militello qui n'en loupe décidément pas une à chaque fois que ça parle d'Internet. La député s'illustre une fois de plus avec un "yakafokon" législatif en réponse à une problématique technique et organisationnelle. En clair, la député entend "mieux protéger les droits et libertés sur Internet" en appelant à un durcissement des sanctions. Ce durcissement, en sécurité informatique, on appelle ça de l'obstination dans l'obscurantisme et dans notre contexte, ça vise à masquer la nullité transpirante d'incompétence des choix techniques de sa formation politique. Ça pourrait presque être drôle si ce n'était pas exactement le contraire de mesures sensées et éclairées qu'apportaient déjà Cédric Blancher sur son blog en réponse aux propositions de la député Marland-Militello.

On pourra donc retenir 3 enseignements de la mésaventure de l'UMP :

  • Comme le souligne le communiqué : "Plus de fichiers = Plus de fuites"
  • Qui sème des fichiers récolte des Pastebin
  • Une réponse législative à un problème technique est stupide, particulièrement quand on fait volontairement l'impasse sur la technique
0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée