OpenDATA sur l’extranet UMP du Sénat
Rien appris… rien du tout… toujours aussi nuls, toujours aussi ridicules, ils reviennent toujours plus bêtes, toujours plus e-gnares. Un internaute vient de nous signaler non pas un courant d’air, mais un boulevard sur un extranet de l’UMP, et pas n’importe lequel. Comme d’habitude tout est parfaitement public, indexé dans les moteurs… pitoyable.
On le savait depuis le fameux d0x qui avait révélé de bien étranges choses, comme des fichiers assez détaillés sur les cadres de l’UMP… le groupe des sénateurs UMP a un extranet. Le concept d’un extranet, c’est qu’il est accessible sur le Net, mais qu’il est sécurisé, seules les personnes autorisées sont censées y accéder. Suite au d0x UMP qui offrait au Net les mots de passe de nombreux parlementaires à ce genre d’extranet, relatif à un défaut de configuration (en fait le serveur était une passoire)… les instances du parti au brillant bilan numérique avaient rassuré la presse, ils allaient renforcer la sécurité de leurs applications. Nos informations faisaient état d’une double authentification… mais vous allez rire.
Quelques mois plus tard, voilà ce que donne le durcissement de la sécurité d’un extranet à l’UMP.
Au début, ça commence pas mal, on a un truc tout bien privé… mais bon sans HTTPS hein des fois que ça soit trop sécurisé.
Très vite, on découvre une seconde authentification
ARTKOM ? C’est quoi ? … ah une agence de comm’ ?? ça commence à sentir mauvais….très mauvais…
Ok on a donc un Extranet réalisé par une agence de comm’ dont le site est en construction mais qui propose un blog sympa… un extranet visiblement en prod, pas audité avec des trous tellement énormes (pour ceux qui n’ont pas suivi, on vient juste de bypasser en un seul clic l’authentification de l’extranet là)… qu’il est même possible de vous servir de l’extranet pour remplacer votre compte premium Megaupload :
… blasé !
Billets en relation :
321 
S'abonner
Si vous avez apprécié cet article, abonnez vous gratuitement pour ne plus rien manquer.
Et vous avez cherché des liens entre Artkom et des membres du gouvernement ? Le directeur serait pas le cousin de Besson ou un ami d’enfance de Morano ?
passe de ombreux => passe de Nombreux
On va d’epic win en epic win …
Euh, vous êtes sûrs que c’est pas un serveur de test?
Comme d’habitude bluetouff : magique !
#LOL … CQFD hein …
je raconte ça à quelqu’un qui n’est pas trop fan ni expert de trucs sécu : un extranet troué.. – ouais, bon, et ? – ben en fait tu peux te faire ton compte megaupload-like sur l’extranet du sénat .. – ça commence à devenir intéressant … ;+P mwuahhahaha
Très sympa les petits fichiers dans ce mégaupload-ump-senat surtout le petit pdf.
Qui se sent de mètre des fichiers sous copyrigth histoire qu’on leur coupe leur connexion (ils avaient qu’a sécuriser leur connexion !)… ah c’est vrai, c’est l’ump, leurs lois ne sont pas utilisables contre eux…
Bon,
c’est qui le malin qui a uploadé un fichier php (de test, hein) qui s’exécute sur le serveur …
CAYPABIEN !
Voilà.
Bah visiblement y’en a un qui s’est bien amusé : y’a des erreurs 500 partout sur le site maintenant.J’ai l’impression que tout a été effacé
Ca marche drôlement bien
http://www.ump-senat.fr/extranet/gestion/modules/CC-ajax-multi-upload/files/UMP-LOLjpg
« Le numérique est un média, il convient de savoir l’optimiser et l’utiliser. »
J’adore.
http://ump-senat.fr/extranet/uploads/
J’ADORE !!! BRAVO !!!
Je plains quand même @lauredlr qui doit supporter le bilan numérique de ces boulets…
La Syrie sur le site du Sénat.
http://ump-senat.fr/extranet/gestion/modules/CC-ajax-multi-upload/files/_%D9%82%D8%B5%D9%81%20%D8%B9%D9%84%D9%89%20%D8%A7%D9%84%D9%85%D9%86%D8%A7%D8%B2%D9%84%20%D9%81%D9%8A%20%D8%AD%D9%8A%20%D8%A8%D8%A7%D8%A8%D8%A7%D8%B9%D9%85%D8%B1%D9%88%208-2-2012.avi_%E2%80%8E.mp4
Trés fun
Par contre, comment vous avez eu l’idée d’aller dans /gestion/modules ?
ya des petits softs qui permettent de réveler l’arbo des sites web en suivant toutes les URLs ou en testant des urls par dictionnaire. Ca marche plutot bien(attention, c’est vite repérable dans les logs vu que tu sniffe toutes les pages). Celui que j’utilise c’est IntelliTamper, il est bien mais il date, il buggue un peu et n’est plus maintenu…
Et voilà, login et mot de passe récupérés, pfffffff amateurs. Bravo Reflets pour ce repérage.
Mon préféré reste le dossier help pour savoir configurer le uploader javascript…
sinon, vive la préférence nationale, on fait bosser une boite de com française (Marseille) sur un hébergeur français (OVH)
Il y a déjà #Amesys qui est sur Aix, faut faire un combo avec ça ! On change pas une zone qui gagne.
J’adore aussi :
»
Création de liens vers http://www.ump-senat.fr/
Le site du Groupe UMP du Sénat autorise tout site Internet ou tout autre support à le citer ou à mettre en place un lien hypertexte pointant vers son contenu.
[...]
»
Ils ont bien compris Internet et le web, çà fait plaisir.
merci
ça fait du bien de rireuuuuuuu !
Fini de jouer
Ayé tout est supprimé, j’espère que c’est eux \o/
j’ai eu vaguement le temps d’entendre parler d ‘un script php (eddyrun on 12 mars 2012 at 14 h 37 min :
« c’est qui le malin qui a uploadé un fichier php (de test, hein) qui s’exécute sur le serveur … »)
A partir de là : tous est possible ^^ !!
ho ?
c’est finit je crois là…
voilaaaaaaaa, c’est finiiiiii…
leur réaction est quand même rapide ^^
Oui, et il était seul a tout gérer…
roooh, qui a tout cassé ??
http://ump-senat.fr/extranet/ => vide
http://ump-senat.fr/extranet/gestion/module => Internal Server Error
Ayé, la récrée est terminée. Ils ont senti le vent de panique
ah ben voilà, il y a plus de ump-senat.fr maintenant :p
Dommage, j’aurais bien voulu voir ce qu’il y avait dans
[...]
-rw-r–r–+ 1 umpsenat users 3845734400 Jan 24 15:59 uploads.tar
[...]
Ah ! Ils sont tombés sur votre article, maintenant :
http://www.ump-senat.fr/extranet/
=
Index of /extranet
Directory -
Qui c’est qui à tout effacé ? qu’il se dénonce!
Ahahahahahaahah !
Énorme quand même 
Un nmap donne des résultats rigolos aussi
hum
http://ump-senat.fr/extranet/lib/
de retour mais le contenu me semble politiquement étrange …
Ahahahaah epic. C’est du gros troll là.
hum, je suis au taf (=> internet surveillé) donc j’ai pas parcouru tous les fichiers ^^ (donc je peux pas vraiment juger du troll) mais j’ai bien l’impression oui
Je confirme ça pue le troll. Owned. … ça promet…
pfiou ca change vite, maintenant on a droti à un pseudo moteur de recherche
« y sont fous ces romains »
je me demande combien de personnes sont rentrés en « concurrence » pour mettre des trucs sur le ftp ^^
Celui-là est bon enfant, si je puis dire :
http://www.ump-senat.fr/extranet/lib/Hollande.jpg
Mais je ne m’attendais pas à ça quand j’ai lu le nom de l’image :
http://www.ump-senat.fr/extranet/lib/premier-ministre.JPG
http://www.ump-senat.fr/extranet/lib/
Retourne google !! \o/
Je dirais même que c’est un c/c du code source de google.fr …
C’est bow
Dommage, celui qui a fait ça aurait pu c/c quelque chose de plus … fin et contestable
HAHA http://ump-senat.fr/ LOLILOL Server Error
Je crois que quelqu’un est sur le ftp \o/
Si ce sont les admins qui ont partiellement effacé le contenu, ils sont pas très joueurs !
ça va trop loin … http://www.ump-senat.fr/ est complètement corrompu
Encore un coup des crypto-anarchiste-chinois-pedophile-juif-noir-roux !
… Bon j’suis p’tet allez trop loin avec le roux.
bon le « on est encore la.txt » à la racine est quand même bien fun =)
« Y faut securisay votre accay internayt !! »
sympa le « LOLILOL Server Error »
http://ump-senat.fr/lib/ps.php
username : test
pass: test
… \o/
LOL redirection sur youporn.
très classe ^^
Cette fois ci c’est filtré par mon taf dommage
Qui aura l’idée de foutre la photo de boutin qui se retire de la campagne ? 
Abusay la redirect sur youporn
J’me demande combien de temps les admins vont mettre avant de tout débranchay
J’imagine les admins :
« Hey les gars, ya youporn là r’garder ! On corrige ? »
» … ouais non pas tout de suite \o/ »
Ouai sont long quand même!
C’était mieux quand on pouvait se balader dans l’arbo!
Moi j’ai kiffé l’affiche Hollande qui était dispo : http://hpics.li/949fe54
Haha énorme je l’avais pas vu, faudrait la mettre en page d’accueil
Redirection vers Youporn maintenant \o/
oh non pas youporn, les filtres pro ne laissent pas y aller…
« Je vous demande de vous arrêter ! »
=P
awiiii, pas mal le nouveau site de l’UMP, du contenu exclusif !!!
Bravo les gars !!!
maintenant ça redirige vers YouPorn, zauriez pu mettre un #NSFW, j’suis au taf en open space moi – »
T’aurais du lire les commentaires
C’était trop easy sur Youporn… moi j’aurais renvoyé sur le site du PS ou un truc du genre
ou le réseau voltaire.
http://www.ump-senat.fr/extranet/lib/ renvoie toujours sur un joli google.
Mouarf ‘foiray, penses à ceux qui sont en open-space !
rhô ça s’amuse hein
très bon.
http://www.ump-senat.fr/bg.jpg
‘tin entre l’iRC de reflets et chez Korben, ça pique mes yeux ^^
Ro la vache qui a foutu la photo qui était upload tout à l’heure ? Ahahahaah
Et quand on tente de poster un lien sur Facebook, voilà ce qui est mis :
« Le contenu que vous essayez de partager contient un lien qui a été bloqué car il contient des messages indésirables ou dangereux :
ump-senat.fr »
En même temps un site réalisé avec dreamwaver ça fait réver…
Réaliser par http://www.fautvoir.com/ admirer le design
facade pour http://intermediaservice.fr/index.html spécialiste retour vers le futur des sites web….
Bref encore un truc à copinage pour filer du pognon à un copain…
Je crois que chez artkom on s’en fout d’être à poil sur internet
http://fr-fr.facebook.com/people/Hugues-Le-Morvan-Idrac/795761987
énorme, ça c’est de la com ^^
http://www.artkom.fr/site/index.php
C’est bon, ils ont un site maintenant. (Ils l’ont ouvert en urgence pour faire face à l’afflux de visiteurs).
La vache, ça fout la gerbe par contre
ouais spécial ce site…
enfin assez vide surtout. c’t'un buzz organisé pour leur faire de la pub ou c’est un extranet de test ?
Aaaaaaaaah, mes yeux, mes yeux !
j’ai toqué à la porte de l’ump sur tweeter… sait on jamais si il y a quelqu’un …
« Site en maintenance » écrit en noir.
. «
En blanc : » ou pas lol, cherchez un peu mieux il reste des saloperies
énorme xD
Et dans la source on a droit à :
.
On a droit à : oui blink c’est crade, mais c’est dans le ton
(désolé, message pécédent = fail lol)
Avec la variante:
. »
noir : « Site temporairement indisponible »
blanc : « … ou pas lol, cherchez un peu mieux il reste des saloperies
Encore accessible mais vide :
http://www.ump-senat.fr/extranet/
Ainsi que http://www.ump-senat.fr/prive accessible mais pas vide
Faut regarder le code source, aussi.
Bonjour les jeunes vous vous êtes bien amusés ?
Une petite garde à vue ça vous dit??
De toute façon votre avis ne compte pas,à bientôt!
Et voila !
« 403 Forbidden » partout
Oui c’est bon l’admin à mis un Deny From All à la racine, il était temps!
le temps de trouver la soluce sur google sans doute…
Google propose aussi un produit « webmaster tools » #jdcjdr
c’était petit ça … ^^
Regardez la page d’indisponibilité, surligner et vous découvrirez font color= »white »>… ou pas lol, cherchez un peu mieux il reste des saloperies
/font
Hoho #OLD
C’est pathétique pour l’ump… mais grâce à eux …J’ai bien ri !
Via Google aussi les traces restent !
http://img259.imageshack.us/img259/2940/umpg.png
ça passe même dans les média « mainstream »
http://www.lefigaro.fr/flash-actu/2012/03/12/97001-20120312FILWWW00568-le-site-du-groupe-ump-au-senat-pirate.php
« Forbidden », c’est bon, ils ont sécurisé maintenant.
kikoo
…
LOL
Je ne sais pas si c’est intéressant, mais on trouve des fichiers sur les activités de l’UMP au Maroc ici : http://interfacedev.com/ump/uploads/
J’ai bien rigolé
Personne n’aurait pensé à sauvegarder les pages rigolotes ?
Autant je suis arrivé après la guerre, autant j’ai beaucoup ris
Félicitation !
Après avoir lu ce billet, j’ai essayé de publier la capture du resultat de recherche sur FCBK, résultat des courses –> il est interdit de publier des trucss avec le nom de domaine ump-senat.fr XD