Le serveur (de test) de backup de l’Education Nationale
Pour faire écho à notre article d’hier, portant sur les travaux de la commission européenne et relatifs à la protection de la vie privée, un internaute découvre, suite à un lien sur une recherche Google que nous avons publié pour illustrer nos propos, nous remonte une alerte dite « OMFG », dont je vous laisse le soin de trouver la signification. C’est l’histoire d’un banal serveur FTP, un serveur FTP du Ministère de l’Education Nationale…
Comme il nous parait évident que ce n’est probablement pas les intéressés qui communiqueront sur cette splendide fuite de données personnelles, et comme la Commission Européenne obligera bientôt les entreprises à communiquer publiquement sur leur compromission dans le cas précis d’une fuite de données personnelles, nous nous sommes dit que nous avions le devoir de vous informer de cette fuite, malheureusement irréversible.
Irréversible ? Oui.. et vous allez comprendre pourquoi.
Manque de bol, il semble que ce serveur soit un serveur de sauvegarde, archivant à qui mieux mieux depuis 2006 ! (Allo la CNIL… we’ve got a problem) des données, principalement à caractère personnel, semblant émaner d’applications de l’éducation nationale. Et il y en a un sacré paquet. Tout bien rangé dans un répertoire nommé « priv » mais qui n’a malheureusement de privé que le nom puisque :
- Tous ses sous-répertoires sont parfaitement accessibles publiquement
- Qu’un crawler russe les a indexé et répliqué… oui, irréversible nous vous disions donc.
Et, donc, comme d’habitude dans ces cas là, impossible de prévenir le responsable.
Pourtant le serveur lui, est bien percé… et pas qu’un peu.
Oh nous avons bien lancé quelques tweets eux aussi restés sans réponse.
C’est d’ailleurs pourquoi nous avons décidé de finalement publier cet article, histoire de nous assurer que le Ministère de l’Education Nationale ne manquera, nullement de diligence, après ce dernier, à sécuriser son accès Internet qui répand jusqu’en russie des données personnelles appartenant très probablement à des enseignants, avec nom, adresse, adresse e-mail, date de naissance, nationalité, niveau d’étude, numéro de téléphone, deux codes identifiants dont nous ne connaissons pas la signification…
Une telle masse de données nous laisse à penser que nous ne sommes en outre pas loin d’être en face d’une base de données recensant, non pas « quelques bahuts de test avec des données personnelles de test de quelques enseignants de test » comme l’expliqueraient certainement nos amis de TMG, mais en face d’une base bien plus large… nationale ?
Comme vous le savez certainement, chez Reflets, nous sommes de grands comiques. Particulièrement quand une institution se montre coupable de négligence caractérisée, ou manque de diligence à coller des rustines sur un serveur percé à la Gatling.
Gatling family pack
Billets en relation :
203 
352 
98 
S'abonner
Si vous avez apprécié cet article, abonnez vous gratuitement pour ne plus rien manquer.
Un rapide recherche sur Google permet de trouver le FTP en question, et le dossier priv n’est plus accessible?
Je suis curieux de trouver le crawler russe
Mika.
C’est bien parce qu’il n’est plus accessible que nous avons publié.
Rho ! Vous êtes pas droles !
Cela dit, on trouve aussi le crawler russe sur google donc bon :/
C’est encore accessible, faut juste utiliser l’index sur m****.ru pour bypass la contre-mesure qui ne bloque que le directory listing.
Eh bien si, par google on peut accéder aux sous-dossiers de « priv » qui, eux, sont resté accessible. Au moment ou je poste ces lignes…
Bravo.
Pour les deux codes mystérieux, ils peuvent être les deux codes <> utilisés pour s’identifier sur le réseau de l’éducation nationale. Ils ont, espérons-le, été rendu obsolète depuis 2006…
si il s’agit du NUMEN , c’est un code à vie
Misère…
Dans la dernière phrase, peut-être plutôt « à la Gatling » ?
bien vu thx, c’est corrigé.
j’ai travaillé dans le service info d’une grande université française et fallait voir les bras cassés… la plus part des ingénieurs d’études responsables du système et réseau n’ont pas fait d’études d’informatique ou très peu (genre BTS en formation continue accélérée en 1 an)
Coté « bras cassés » …. cette partie est sous traitée à une grande société privée !
« Oh oh oh, j’ai travaillé à un endroit c’était des bouzes, donc y’a des bouzes partout… »
OMG, y’a du niveau ici, je reviendrai ça promet de grosses rigolades.
J’ai accès au priv. Je suis inquiet pour mes données perso.
Pardon, fausse alerte. C’est juste l’arborescence. Merci de votre vigilance.
Prochain épisode: le fichier de l’intégralité de la population française en mondovision !
Et mirroré un peu partout pour que ça soit plus drôle
Ca existe déjà ça non ? c’est pas Facebook ?
Hu hu
Le « crawler russe » as juste répertorié l’arborescence des fichiers c’est sa ?
En tout cas la majorité des fichiers de backup pleins d’informations personnelles sont encore consultable !
Juste pour info j’ai trouvé en moins de 10mins deux autres ftp://*.gouv.fr ouvert avec des données personnels (généralement des listes d’astreinte et des annuaires)
530 Sorry, max 500 users — try again later
Ok, je crois que je ne suis plus tous seul.
il y a plein de sous répertoires encore non protégés…
oui, il y a une grosse erreur de conf, si l’un des reps et le listing sont déactives la plupart des donnés reste accessible.
Vous pourriez compter le nombre de personnes fichées pour voir l’ampleur du délire.
Franchement, on a pas trop que ça à foutre
Je te promet rien mais… il se trouve que j’étais tranquillement en train de nettoyer mon wget et le coup est parti tout seul ! Alors qui sait…
En se renseignant un peu :
POPPEE -> Gestion des personnels des bibliothèques
ITARF -> Ingénieurs, Techniques, Administratifs de Recherche et de Formation
En fait, tout ça, c’est de l’open data super-optimiste et super-en avance sur son temps, en prévision du jour où TOUT sera public et plus rien ne sera confidentiel, c’est ça, hein ?!?
C’est l’éducation nationale qui s’est mis à l’open data sans prévenir, voyons…
Bluetouff, t’es vraiment sur que le listing est désactivé la ? Non parce que… en retrouvant le crawler russe pour avoir une idée de la base de l’arbo, derrière on à absolument accès à tout…
Il suffit de mettre ça dans le navigateur (on dois commencer à être pas mal à savoir ce qu’il y a derrière les X) et ça passe sans problème :
ftp://xxx.education.gouv.fr/priv/xxx/xxxxx_xxxxx/
Accessoirement, heureux que tu sois de retour… Je vais te renvoyer un petit mail quand même juste au cas ou mais bon
*** note : j’ai modifié ton url, désolé***
Bluetouff
Il y a malheureusement encore des méthodes permettant d’y accéder, sans contourner aucune mesure de sécurité, c’est une bourde de vrai noob. Les données doivent être considérées comme publiques.
salut ! je suis néophyte en FTP, mais grâce à cet article et à vos commentaires j’ai appris beaucoup en une soirée héhé.
Cela dit, je n’ai pas encore trouvé ton astuce hoper
(btw, si bien sûr cette astuce est légale, je ne dis pas non à un petit coup de pouce :p )
Il n’y a absolument rien d’illégal (ou de très astucieux) la dedans… De simples recherches google, ni plus ni moins. (En évitant de laisser le paramétrage par défaut de google qui ne renvoi que les pages en Français hein.. je rappel que c’est un site russe que tu cherche
Toutes mes excuses si j’avais pas mis assez d’étoiles
(message inutile certes, mais qui signale au moins que je n’avais pas envoyé l’url intégrale en clair, ce que ta note aurait pu laisser supposer)
dans un des sous-dossiers, on trouve une pub pour du viagra et une page html qui pointe vers un javascript douteux. Ce serveur ftp semble complètement à la rue.
Oui c’est la cerise dont nous n’avons volontairement pas parlé, les erreurs de permissions sur les dossiers sont complètement improbables à ce niveau.
Est(ce que tu te souviens dans quel répertoire c’etait ? Ce serait bien de les avertir qu’ils clean ca.
Avec un truc SOPA-like on pourrait protéger nos données ! \o/
… Je suis sûr qu’ils y pensent.
Il n’y a pas que le dossier priv qui pause problèmes…
Le dossier public contient lui aussi des dump sql avec des adresses…
/***************
ou les sujets de concours
/***************
——
Désolé j’ai censuré les paths, vous comprenez pourquoi
Bluetouff
Salut,
C’est grave les données sont encore visible, même pour une personne lambda. Mon neveu de 5ans arriverait à les trouver faut qu’ils agissent là. o_O
NB : Je comprend la censure, malheureusement l’url complète (du miror) est visible dans les commentaires Google+ de Manuel Dorne (Korben) sur cet article
Si vous vouez ennuyez, la porte est aussi ouverte à l’agriculture
sauf qu’à l’agriculture ils ont pensés à rechercher des failles :
ftp://ftp.agriculture.gouv.fr/rmap_secu/Virus/Recherche-faille/
ça reste infime c’est que sur l’année 2006 apparemment
Pas vraiment. Il y a de la matière datant de 2011, et en farfouillant un peu, on trouve même ce qui pourrait être l’application à l’origine des données (et ses quelques mises à jour):
S*******.exe 12.06Mb March 3 2011
—
Désolé j’ai masqué le nom de l’appli qui permet de remonter trop facilement au serveur.
Bluetouff
« Hey ! Hey ! »
Je fait juste le gars qui fait coucou à ses potes pour quand cette page passera à la télé demain…
)
je crois que le crawler je l’avais trouvé, sans trop m’en rendre compte
. (en tous cas j’arrive bien sur l’ url se terminant par senorita :p )
Après, si on a accès à l’arborescence derrière le répertoire « priv » , pourquoi ne l’a t on pas aux fichiers en eux mêmes ?
un fichier globale oublié là lors d’une migration ?
Je suis un peu noob dans le domaine.
Le serveur est percé, et, mirroré en russie.
Il y a t’il donc un dump de données de l’éducation nationale se balade sur des serveurs russes?
Désolé pour le double post.
Il est toujours possible d’y accéder par Google en remontant juste le path de n’importe quel de leur PDF.
Je suis sidére
Je suis pas si n00b finalement
Je suis un peu bourde, j’ai voulu lancer un wget sur le crawler russe, et je me suis rendu compte je ne téléchargez plus le ftp de l’éducation nationale mais tout le crawler…
Ca aurait été drôle si j’étais partit en cours mon ordinateur allumé!
répand du verbe répandre !
Et dollar (non pas dolar).
Le ministère de l’éducation lit Reflets à présent.
Attention aux foted !
db
Oups… On savait que la gestion des droits sur ce serveur devait laisser à désirer mais la… Je crois que j’ai « trouvé le problème ». Dans les répertoires on trouve des fichiers cachés (.listing). Voila ce qu’un cat de ce fichier renvoi. Je suis obligé de masquer le nom de tous les fichiers, parce qu’une simple recherche google sur l’un de ces noms donnera immédiatement accès à l’ensemble du contenu.
-rwxrwxrwx 1 oracle dba 6062 Nov 6 2006 XXXXXXXXXXXXXXXXXXXXX
-rwxrwxrwx 1 oracle dba 1873 Nov 6 2006 XXXXXXXXXXXXXXXXXXXXX
-rwxrwxrwx 1 oracle dba 2176 Nov 6 2006 XXXXXXXXXXXXXXXXXXXXX
-rwxrwxrwx 1 oracle dba 28883 Nov 6 2006 XXXXXXXXXXXXXXXXXXXXX
-rwxrwxrwx 1 oracle dba 57696 Nov 6 2006 XXXXXXXXXXXXXXXXXXXXX
-rwxrwxrwx 1 oracle dba 4283 Nov 6 2006 XXXXXXXXXXXXXXXXXXXXX
-rwxrwxrwx 1 oracle dba 6293 Nov 6 2006 XXXXXXXXXXXXXXXXXXXXX
-rwxrwxrwx 1 oracle dba 828 Nov 6 2006 XXXXXXXXXXXXXXXXXXXXX
-rwxrwxrwx 1 oracle dba 1120 Nov 6 2006 XXXXXXXXXXXXXXXXXXXXX
-rwxrwxrwx 1 oracle dba 3349 Nov 6 2006 XXXXXXXXXXXXXXXXXXXXX
-rwxrwxrwx 1 oracle dba 7523 Nov 6 2006 XXXXXXXXXXXXXXXXXXXXX
-rwxrwxrwx 1 oracle dba 3380 Nov 6 2006 XXXXXXXXXXXXXXXXXXXXX
-rwxrwxrwx 1 oracle dba 6097 Nov 6 2006 XXXXXXXXXXXXXXXXXXXXX
-rwxrwxrwx 1 oracle dba 26715 Nov 6 2006 XXXXXXXXXXXXXXXXXXXXX
-rwxrwxrwx 1 oracle dba 49100 Nov 6 2006 XXXXXXXXXXXXXXXXXXXXX
-rwxrwxrwx 1 oracle dba 1732 Nov 6 2006 XXXXXXXXXXXXXXXXXXXXX
-rwxrwxrwx 1 oracle dba 4040 Nov 6 2006 XXXXXXXXXXXXXXXXXXXXX
-rwxrwxrwx 1 oracle dba 4457 Nov 6 2006 XXXXXXXXXXXXXXXXXXXXX
-rwxrwxrwx 1 oracle dba 5874 Nov 6 2006 XXXXXXXXXXXXXXXXXXXXX
-rwxrwxrwx 1 oracle dba 11912 Nov 6 2006 XXXXXXXXXXXXXXXXXXXXX
-rwxrwxrwx 1 oracle dba 16317 Nov 6 2006 XXXXXXXXXXXXXXXXXXXXX
-rwxrwxrwx 1 oracle dba 11998 Nov 6 2006 XXXXXXXXXXXXXXXXXXXXX
-rwxrwxrwx 1 oracle dba 16688 Nov 6 2006 XXXXXXXXXXXXXXXXXXXXX
-rwxrwxrwx 1 oracle dba 10528 Nov 6 2006 XXXXXXXXXXXXXXXXXXXXX
etc…
Il faut savoir que pour l’éducation nationale le terme PRIV ne veux pas dire que « qui ne doit pas être visible » mais que ça appartient au secteur privé.
Ceci étant dit. Pour avoir vérifier en interne, les cas présent ne sont pas des cas de test
Accessoirement, la « bonne » nouvelle est donc que toutes ces informations ont pu être modifiées par n’importe qui, n’importe quand. Donc elles n’ont rien de « fiable »
Sincèrement, coller un chmod récursif en 777 sur un répertoire qui s’appelle « priv », il fallait oser.
Comme dit plus haut le « priv » signifie « du secteur privé ».
Y un login de 13 lettres et j’ai trouvé à quoi il sert, plus qu’a voir s’il y a le pass quelque part ! Je suis un newbie, mais c’est vachement bien comme épreuve facile de hack
Je lui donne 2 points !
Merci pour ce petit exercice du matin
Pour ma part ftp français et russe retrouvé via notre ami Google en une quinzaine de minutes…
C’est assez sidérant !
Bonjour,
Il est même toujours possible d’y accéder directement.
Cependant, il est nécessaire de pointer directement sur les sous-répertoires de priv, sinon erreur 550.
Et s’amuser accessoirement à récupérer l’intégralité des données. Plus de 5700 fichiers tout de même…
merciiiiiiiiiiiiiiii
Ça y est je crois qu’ils ont compris !
Visiblement ce n’est pas une négligence du personnel du ministère de l’éducation nationale mais celle d’une société de service chargée du développement d’une application (Atos Origin).
Cela fera peut être réfléchir les gens concernant l’externalisation de tout et n’importe quoi…
Enfin quelqu’un qui dit quelquechose d’intéressant.
Fallait juste faire un dig sur le nom de domaine education.gouv.fr pour se rendre compte que la gestion des DNS est externalisée… qui dit gestion de DNS externalisé, dit machines hébergeant le site externalisées.
M’enfin vu le nombre de lamer qui se balade ici & postent des remarques de newbies ou des conneries du genre « oh bah tiens j’vais aller me balader sur un ftp & lire des données auxquelles je ne devrais pas accéder » (<- tu te poses la question 2 sec du "suis-je dans la légalité").
Bref, merci à reflets.info pour le 0 day, ça permet de bien leur mettre le nez dans le c4c4, à tous ces cons qui veulent externaliser pour sucrer leurs potes (et uniquement pour ça, car ça ne coûte pas moins cher d'outsourcer).
Tchuss
Atos Origin ? Quand on sait qu’ils sous-traitent aussi pour l’armée Française… C’est moche, très moche même.
Comme à notre habitude, nous avons tenté de joindre le mail de contact du whois, le tout gracieusement, sans de mander de rançon d’un million de dolars
dolars => dollars
: )
Effectivement
150 Opening BINARY mode data connection for file list
drwxrwx— 3 root root 34 Feb 4 2010 priv
Comme quoi, le fait de publier un problème accélère toujours grandement sa vitesse de prise en compte.
Si j’en crois mon petit script fait à l’arrache (donc au fonctionement bête et méchant, avec comptage des lignes de chaque fichiers texte, et en partant donc du principe que la même personne n’est pas répertoriée deux fois dans des fichiers différents, ce que je n’ai évidement pas vérifié, cela nous donnait un total de 338211 enregistrements, répartis dans 4042 fichiers textes… Un score pas dégueulasse donc
Mince, j’aurais bien DL l’intégralité des fichiers x)
c’est marrant, on peut même y trouver des docs, des accords (mandrakesoft, apple…)
a fouiller ce soir
Encore un epic win pour Reflets !
Ce site est de plus en plus intéressant !
Merci pour tous ces billets !
le coup de grâce :
ftp://***.education.gouv.fr/***/educnet/secondaire/Les_TIC_pour_quoi_faire.pdf
Feskejdi paskejfé
ou bien ftp://xxx.education.gouv.fr/xxx/*******/chrgt/charteproj.pdf
je cite :
« 4-5 Protection des données à caractère personnel de l’Utilisateur
En application des dispositions de la loi Informatique et Libertés n° 78-17 du 6 janvier 1978 et de la directive
européenne 95/46/CE relative à la protection des données personnelles et à la libre circulation de ces données du
24 octobre 1995, l’Etablissement s’engage à respecter les règles légales de protection de ce type de données. Il
garantit notamment à l’Utilisateur :
· de n’utiliser les données à caractère personnel le concernant que pour les strictes finalités pour lesquelles
elles sont collectées (ouverture du Compte d’accès, contrôles techniques définis à l’article 4-7…) ;
· de lui communiquer les finalités et la destination des informations enregistrées et leur durée de
conservation, laquelle ne peut en tout état de cause excéder ce qui est nécessaire à la réalisation des finalités
pour lesquelles elles sont collectées ou traitées.
· de lui garantir un droit d’accès et de rectification aux données le concernant….. »
Avis aux candidats qui ont passés les épreuves ITRF entre 2003 et 2011
————————————————-
Le logiciel SENORITA est utilisé pour gérer les concours aux postes ITRF
http://fr.wikipedia.org/wiki/Ing%C3%A9nieurs_et_techniciens_de_recherche_et_de_formation
Les backups de 2003 à 2011 trainaient en libre service suite à cette négligence caractérisée de l’Éducation Nationale
Le FdG propose de créer une nouvelle matière scientifique dans les programmes « Informatique/Numérique ».
==> Peut être que nos petits enfants sauront utilisés tout çà proprement !
« utiliser »…arghhh
ou « nos petits enfants seront utilisés… »
Au secours, je suis prof… c’est quoi ces conneries…. Ecrivez aux syndicats….
Help !!!!!!!!! Les codes servent à toute notre gestion de carrière !!!!!!!!!!!
@clerouque,
Si j’étais vous, je me réunirais avec mes collègues pour envisager de porter plainte.
Pas contre nous la plainte hein
Nous on ne fais que constater que toutes ces données sont accessibles (et étaient même modifiables) par n’importe qui. Après, même sans aller chercher ce nouveau délit « d’absence de sécurisation de sa ligne », un professionnel quel qu’il soit à le devoir de se comporter comme tel, et donc d’effectuer son activité « dans les règles de l’art », ce qui n’était évidement pas du tout le cas ici. Et puis l’administrateur système, il doit avoir un supérieur hiérarchique qui devrait aussi s’expliquer. Parce qu’a ce niveau la de bêtise…
Évidemment, ça va de soi.
Rhoo, il me dit que le dossier priv est innexistant maintenant, dommage ^^
Oh que si il est existant :p
Je veux dire par là vu le nombre de fois qu’il a du être pompé il est devenu presque éternel !!
Apparemment, le ftp en question était connu depuis quelque temps ; en faisant une recherche sur pastebin: http://pastebin.com/wfnLydnr/ il était dans une liste de de sites importants dont dont le compte annonymous du ftp était activé, et ça date d’octobre.
P.S. Maintenant qu’ils ont découvert la récursivité pour changer les droits d’un dossier, ça ne sert plus à rien de cacher les liens!
J’ai trouvé le site mais impossible de comprendre comment obtenir les données perso… Un petit indice pour me permettre de l’expliquer à mon syndicat que l’on puisse hurler
C’est un vrai pb cette question des fichiers dans l’Education Nationale. Je bosse avec la Base Elève qui répertorie l’intégralité des élèves d’un établissement et est directement reliée au rectorat, ainsi qu’avec les bases Iprof, et on constitue clairement des fichiers d’état civil à grande échelle et toutes nos applis fonctionnent avec ces bases de données. Le moindre crash du site SCONET et on ne peut plus travailler … l’autre aspect c’est le développement d’un certain nombre de logiciels privés, pour la gestion des cantines notamment, qui récupèrent automatiquement les bases élèves et constituent donc un fichier local.
Pour Zoulai :
très important ce que tu dis là.
Nous sommes des parents/enseignants/directeurs opposés au fichage dans la BE.
Peux-tu nous apporter la preuve que les fichiers privés des mairies (cantine…) sont alimentés par la BE ?
J’arrive après la bataille éclair, mais j’ai l’impression que le crawler indexe les fichier mais ne les réplique pas puisqu’il pointe ensuite vers le fichier original.
Ça reste drôle mais c’est pas vraiment irréversible, puisque les fichiers ne sont plus accessibles maintenant.
Maintenant faut juste chercher l’archive de ces fichiers sur MU … OH WAIT !
je voudrais juste savoir si ces données contenaient les NUMEN :
le format du numen est 00 X 0000 0000 XXX
où 0 représente un chiffre et x une lettre
Cette extraction de données est d’autant plus inquiétante, quand on sait que le même genre de données personnelles mais des enfants et de leurs familles sont stockées (et paraît-il parfaitement sécurisées) sur des serveurs académiques (= régionaux) dans le fichier Base-Elèves. Pensez-vous que ce fichier est sûr et suffisamment protégé (si qqun connaît) ?
Piayre