Les petites négligences caractérisées de Franck Riester
Pour fêter l’arrivée du député Riester sur Twitter, Reflets.info ne résiste pas à la tentation de contribuer à l’effort pédagogique en matière de sécurité informatique, que nous avions déjà initié avec TMG, et si ardemment souhaité par Franck Riester. Cette volonté pédagogique qui transpire dans HADOPI 1 et 2, brillant texte que le député a honoré de ses plus belles et sincères tirades tout au long des « débats », en tant que rapporteur.
La pédagogie, sur un site web, ça commence souvent par un robots.txt.
Et quand le robots.txt est aussi bavard, et le cms aussi bien « documenté »… on tombe par exemple là dessus… un changelog qui a le bon gout de nous donner le numéro de version… et argh … il n’est pas à jour !
Simple curiosité, une petite recherche dans Google … et là.. c’est le drame , le site est vulnérable à une petite XSS toute mignonette… ça commence à sentir la négligence caractérisée
Et comme on est en pleine période de tragédie grecque, le drame ne s’arrête pas là, la négligence est tellement caractérisée que le site affiche aux 4 vents son (très bavard) Error Log !
EDIT: Le error.log contient un epic path disclosure… carrément énorme, qui ressemble à une bonne blague de geek. L’hébergeur semble tellement fan des travaux du député qu’il a rangé ce site dans un répertoire un peu particulier… Et il est où le site de Franck Riester ? …. DTC !!
Le député Riester ne nous avait pas menti, HADOPI est une loi vraiment très populaire.
Re-EDIT : Le DTC pourrait en fait correspondre à ceci. Il ne s’agirait donc pas de l’acronyme d’un hébergement de type « Dans Ton Cloud ».
Re-Re-Edit : Et pour parfaire le décor, un internaute nous signale une belle fuite de données personnelles sur le site du député Riester, une bien chouette base de données pour spammeurs (vu qu’il y a des données personnelles, Reflets ne communiquera pas le lien) :
Bienvenue sur Twitter monsieur le député, le réseau social qui vous rendra au centuple toute la pédagogie dont vous avez su faire preuve avec Internet… ceci est un échange de bons procédés.
Afin de mieux sécuriser votre site web, nous vous proposons comme solution d’appliquer le patch firewallesque OpenOffice à l’aide la commande
# apt-get install OpenOffice-Fw-edit-beta2
NB : aucune intrusion n’a été réalisée pour accéder à ces données, en cliquant sur les liens de cet article, vous verrez que tout est parfaitement public… peut être le fruit d’une négligence caractérisée, un peu comme le décret d’application qui omet de définir ce qu’est une connexion à Internet ?… allez savoir.
Billets en relation :
220 
333 
100 
S'abonner
Si vous avez apprécié cet article, abonnez vous gratuitement pour ne plus rien manquer.
Si je comprends, Franck Riester est donc une update de l’Ump 2.0, l’alpha released c’etait Lefebvre : http://www.delicyus.com/ump2-0
C’est énorme, je suis toujours aussi étonné de voir que les personnes plus ou moins lié à Hadopi ont des systèmes qui possèdent des failles aussi énormes.
Coup de chapeau à l’error.log qui permet de tester de la faille SQL sans être à l’aveugle -_-
Pour répondre à l’edit, ke trouve le « Access denied for user ‘dtc’@'localhost’ » hilarant aussi :p
hum…c’est pas plutôt en rapport avec ceci http://www.gplhost.com/software-dtc.html ?
ah je ne connaissais pas, c’est un clicodrome? Tu dois avoir raison, je vais le mentionner, mais la coincidence reste amusante
carrément…dommage que notre député n’en comprenne probablement pas toute la subtilité
Quand tu ne sais pas trop comment configurer un dédié tu peux avoir recours a ce genre de soft. Le truc c’est que un webmin ou autre c’est pas top au final. Et puis le bon gout de DTC de mettre en logo partout un poing fermé levé vers le ciel … ahem …
Pour avoir pus testé, c’est clairement pas exempt de faille dans tout les sens. meme si c’est assez maintenu et souvent mis à jour …
C’est énorme.
Le firewall, ça marche toujours avec http://fr.libreoffice.org ?
Il est 9h00 et le site est toujours debout. Messieurs les lecteurs vous faites preuve d’une retenue admirable!
Ou d’une intelligente discrétion
Juste une précision. Ano Nymous ne signifie pas qu’il a mi des infos bidons. C’est juste qu’elles ne sont pas disponibles au Whois.
C’est le système anti spam de Gandi … Activé par défaut sur tous les domaines.
Yep vu c’est corrigé, mais c’est dommage de ne pas laisser un mail de contact tech
Normalement l’email permet quand même de contacter le tech, mais avec une adresse « anonymisée » pour cacher la vraie adresse.
Si ce n’est pas une adresse valide, elle ne passe pas au zonecheck à l’AFNIC
on est d’accord, gandi est bien censé mettre une adresse email de redirection avec filtre antispam toussa mais valide et fonctionelle.
Oui sinon ils risquent de perdre leur accréditation à l’AFNIC. Et pour un registar c’est pas pratique.
l’email de contact tech traine pas dans l’email.log?
Ahaha bien vu, désolé j’ai viré le lien mais j’ai édité l’article (données personnelles oblige)
Etrange, il me semblais que gandi laissé une adresse email spécifique à eux pour te contacter dans les whois anonymes …
Mais c’est le cas. La méthode d’anonymisation de Gandi est la même que pour http://www.jetable.org
Ceci était donc votre premier avertissement Riester.
Le second sera envoyé par LRAR.
Nous n’irons pas plus loin, la hadopi n’étant pas capable d’aller plus loin actuellement.
Je sens que vous aussi vous êtes effrayé, suite à ces diverses négligences qui devraient vous amener directement en prison non ?
Ano Nymous ?
Hum pas l’air vuln au xss non?
Mais bravo pour l’article
Oh, un 404 sur le CHANGELOG.txt.
Oh, un 401 sur le error.log.
Je crois qu’ils ont eu le message
Au moins ils sont réactifs.
Parse error: syntax error, unexpected T_STRING, expecting T_OLD_FUNCTION or T_FUNCTION or T_VAR or ‘}’ in /homez.337/franckri/www/index.php on line 53
Ah… OOPS
Owi Owi Owi, reflet je t’aime, tu rend ma matinée plus lolante \o/ poutoux !
Citation — Très intéressé par le développement économique, j’ai également une très bonne connaissance des nouvelles technologies et de l’audiovisuel. Après avoir appartenu à la Commission sur la nouvelle télévision publique, la « Commission Copé », j’ai ainsi été le rapporteur de la loi « Création et Internet ». –
Raté…
mais c’est une bonne journée ça, merci
Vraiment excellent, un bon billet !!
Vous allez tous finir en tôle bande de petits salopards !
Francky dit « le garagiste » (un peu vénerd)
oh wow oh wow oh wow
Vas-y Francky, fait nous rire encore !
Merde, plus de error.log. Comment continuer à se marrer maintenant? :’(
Avec ca : Avec ca : http://www.pcinpact.com/news/66883-cadres-ump-deputes-senateurs-fuite.htm
Petite recherche et toutes les infos sont visible sur Pastebin http://pastebin.com/WG7Ffh5t
trop rigolo… plutôt que de bien configurer leur serveur web, ils ont juste ajouté un htaccess
Mais que de pédagogie, admirable d’empathie envers des personnes fragiles Bluetouff. Ça mériterait presque une petite médaille en chocolat ^^
Bon, moi je retiens # apt-get install OpenOffice-Fw-edit-beta2
et j’en parle à mon webmaster.
Continuez à rigoler, bande de gauchistes.
Par ailleurs, refiler le dossier Hadopi à un garagiste, fallait oser.
Il a dû passer de OOo à Libre Office et a compris libre service.
Négligence caractérisée dans le choix du nom du software, 10 ans de taule !