Fuite du fichier de l’UMP : un communiqué des auteurs
Les auteurs supposés de la fuite du fichier de l’UMP viennent de diffuser un communiqué via Pastebin qui vient de nous être signalé par un internaute. Nous vous le livrons ici, de manière brute. Nous n’avons pas moyen de l’authentifier mais une première lecture nous laisse croire qu’il ne s’agit pas du tout d’un fake. Le formatage du fichier tel que collé dans Pastebin nous a tout de suite fait penser à un dump SQL et nous avons évoqué avec des journalistes la grande probabilité d’une injection SQL sur une application web de l’UMP. Les auteurs supposés de la fuite confirment ici notre hypothèse. La fuite émanerait d’une application hébergée chez mes-conseils.fr.
Nous sommes les auteurs de la publication des données « légérement » privées des députés UMP, le désormais fameux « DoX-UMP » :
Nous avons fait un communiqué complet plus tôt aujourd’hui, transmis à un journaliste qui nous a invité à discuter, mais en attendant publication de ce communiqué, si publication il y a, dans le doute nous tenons à signaler (répeter) quelques points importants :
- Aucun site « institutionnel » n’a été attaqué, ni même visé.
- Les données sont issues d’une société d’hébergement & création de sites internet privée. (mes-conseils.fr)
- La faille a été découverte par un « google dork », il s’agit d’une faille SQL flagrante.
- L’exploitation de ce genre de faille s’apprend en quelques minutes avec google/youtube.
- Ces failles SQL étaient présentent sur ~30 sites personnels de personalités de l’UMP.
- L’exploitation de cette faille nous a mené à plus de 160 bases de données, dont la plupart étaient directement liées avec l’UMP.
- Dans ces bases de données, il y avait :
° des centaines (milliers?) de mails
° les identifiants confidentiels de ces députés pour se connecter à des extra/intranets
° certains identifiants confidentiels permettant de se connecter au portail privé de l’assemblée-nationale.Nous AURIONS PU, en voyant tout ceci :
- écrire des mails en utilisant les adresses officiels de certains députés.
- tenter de pirater le site de l’assemblée-nationale « de l’intérieur ».
- publier TOUTES les données aperçues sur ce serveur, contenu des mails identifiants & mot de passe compris.
- les vendres à des pays étranger ?Nous avons choisi de ne publier qu’une partie des données, expurgée de ce qu’il y avait de plus sensible.
Nous souhaitions être entendu, chaque jour des centaines de personnes se font pirater leurs données privées transmises à des société privées. données, qui sont ensuite partagées sur le net, dans l’indifférence totale de ces sociétés privées piratées, et des responsables politiques.
Mais ces citoyens ont rarement la chance de tomber sur des pirates qui ne dévoillent pas les mots de passes, ou le contenu de mails.A ceux qui nous qualifient d’ « irresponsables », et que ce piratage est « grave » nous tenons à demander :
Qui est « irresponsable » ? Qu’est ce qui est « grave » ?
- Ce webmaster qui laisse quasi-ouvert son serveur MySql, qui utilise le même mot de passe PARTOUT, et qui semble très peu regardant quand à la sécurité des données qu’il hébèrge ?
- Certains députés, qui confient à ce webmaster privé leurs identifiants officiels de député ?A ceux qui nous qualifient de « cyber-idéalistes attaquant la nation », nous tenons à dire que :
- Nous n’avons publié aucun mot de passe permettant d’accéder aux sites institutionnels, malgré leur présence dans la base de données.
- Nous sommes tombés par hasard (-google dork-) sur cette faille, nous avons regardé où elle menait par curiosité avant tout.
- Nous n’avons pas publié la faille en question, ce qui aurait permis à n’importe qui de s’emparer de toutes ces données.
- Nous n’avons ni attaqué ni visé aucun site institutionnel.
- Cyber-Idéalistes tout-court, pourquoi pas !Alors pourquoi avoir publié ces données ?
Nous avons simplement profité de cette occasion pour mettre l’UMP en face de ses contradictions, situation tellement ironique…
Plus de fichiers = Plus de fuites.
Et plus les fichiers sont « tendancieux », plus le risque de fuite sera grand.* Il y a quelques mois une loi a été votée autorisant le « fichage de 45 millions de personnes honnêtes », lorsque 566 des 577 députés étaient ABSENTS !
* Il y a quelques jours, Israel s’est « rendu compte » que les données privées de 9 millions de ses citoyens circulaient sur internet.
Plus de fichiers = Plus de fuites.La gravité de notre piratage et des données rendues publiques, quelques sms, est quelques peu désuette quand on se pose les questions suivantes :
* Que se serait-il passé si ce piratage était l’oeuvre d’un pays étranger, pas forcément très amical, qui aurait pu ainsi envoyer/recevoir des mails avec l’adresse officielle de membres du gouvernement ?
* Que se serait-il passé si ce piratage avait mené à un piratage de tout le site du groupe UMP ou du site l’assemblée nationale et compromettant surement des données réellement sensibles ?Nous n’avons rien sauvegardé de ce que nous avons vu dans ces bases de données, il n’y aura pas d’autres publications de données de notre part. Nous sommes certes un peu moqueurs, mais pas plus que les personnes visées dans nos premières publications, non ?
Nous ne sommes pas des ennemis des institutions. Nous n’appelons pas à la haine, mais nous soutenons les luttes citoyennes, et même parfois, les luttes « par effraction »!Moralité :
« Plus de fichiers = Plus de fuites. »DoX-UMP
Billets en relation :
270 
S'abonner
Si vous avez apprécié cet article, abonnez vous gratuitement pour ne plus rien manquer.
Tango down et puis c tout.
il aurait surtout fallu pirater le Bescherelle.
respect !
Un peu d’humilité et de respect de la part des hommes politiques envers « les gus dans leur garage » serait également bienvenue…
Ah au fait, les données piratées ne proviennent pas du tout d’ »un fichier de l’UMP ». Non, non ! Vous vous trompez complètement !
En fait, ils proviennent d’ »un fichier du groupe UMP ». Rien à voir !
http://www.lemonde.fr/technologies/article/2011/11/09/les-donnees-piratees-proviennent-du-groupe-ump-a-l-assemblee_1601281_651865.html
Quand je comprend comment on peu obtenir de telle donnés avec de telle faille… je me dis que je ferai mieux de me remettre un peu au codage parceque ça signifie que malgré l’énorme volonté politique, en fait, ça manque de compétence.
Détruire les données du gouvernement ! Envoyer des vrai-faux courriels avec les adresses des ministres et leurs infos… Posé ne serait ce que de simple question aux bonnes personnes avec l’aura que donne ces adresses…
C’est énorme !
Vive l’anarchie !
« Au fait, combien on a reçu pour les frégates de Taïwan? »
on parle beaucoup du masque de v pour vendetta. Moins du fait que V a un accès au mega serveur de la dictature.
« Le Destin » dans la version française, « Fate » en anglais.
voir la rubrique « adam susan » dans cette page : http://en.wikiquote.org/wiki/V_for_Vendetta
Amusant de voir que le dictateur est amoureux de son fichier géant…
J’en proftie pour appeler tous ceux qui n’ont vu que le film à lire le comics. Il est à des années lumières du film, il va beaucoup plus loin.
Et oui, V réussit sa révolution en grande partie grâce à l’exploitation du système mis en place par la dictature.
Si t’as pas fait l’ENA et que tu es sur Internet, tu es un cyberterroriste.
Bonne nuit :]
c’est vrai, plus de fichiers c’est de fuites…
réponse de l’ump :
« C’est un scandale, il faut surveiller davantage ! »
Le chat qui se mord la queue…
Dans la mesure où ils rêvent de contrôler internet, ce genre d’action aussi louable soit-elle, va servir l’ump. Ils vont dire à madame Michu (qui elle(!) ira voter), qu’il y a que des méchants sur internet et qu’il faut réguler ça.
Si tu veux piquer ton chien, tu dis qu’il a la rage.
Les petits joueurs !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Quand je vois le site de ma boite régulièrement scanné à la recherche de faille SQL ou XSS, je me dit que ce ne sont sûrement pas les premiers à trouver ce fichier.
Vu la facilité (google dork), certains ont du l’exploiter bien avant le leak sur pastebin…
+100 ils devraient être décorés de la légion d’honneur pour service rendu à l’UMP (seule raison valide de l’obtenir d’ailleurs).
Bravo à Reflets ! Des passoires, ces sites UMP …
http://www.ump.org.uk/index.php?option=com_facileforms&Itemid=72%27%22–%3E%3C%2Fstyle%3E%3C%2Fscript%3E%3Cscript%3Ealert%28%27UMP%20DOX%27%29%3C%2Fscript%3E
je trouve que le style et les idees de ce communique ressemblent etrangement a ceux de certains membres de reflets.
)
Coincidence ??
Oui parfaite coincidence car nous ne publierions jamais de données personnelles, ceci n’est franchement pas le style la maison.
Et voilà … La réponse ne s’est pas fait attendre.
http://tinyurl.com/cvzhzma
De pire en pire.
@+
http://friendpaste.com/4tLqjtfFvFicKS4iJRZstt
un autre fichier estampillable UMPS et consorts…
Message concernant les donneurs de leçons de morale et d’éthique, aux autres et qui oublions….
http://aviseurinternational.wordpress.com/2012/01/19/les-pupilles-de-la-nation-et-leurs-promesses-que-viennent-ils-encore-nous-enquiquiner/
à suivre de près par les concernés et les autres.
Cordialement