S'abonner Se connecter
Journal d'investigation en ligne et d'information‑hacking
À la Une
Technos
par bluetouff

Oui, INDECT a bien été p0wn3d

INDECT est un projet européen de surveillance globale des réseaux, cherchant à mettre en oeuvre des techniques de prévention des crimes et des comportements anormaux sur le réseau. Le projet INDECT vise à fliquer purement et simplement toute la population européenne sur Internet, un peu comme l'anticipait le film de science-fiction Minority Report. Le consortium regroupe 17 institutions européennes, pour la France c'est l'Ensimag de Grenoble.

INDECT est un projet européen de surveillance globale des réseaux, cherchant à mettre en oeuvre des techniques de prévention des crimes et des comportements anormaux sur le réseau. Le projet INDECT vise à fliquer purement et simplement toute la population européenne sur Internet, un peu comme l'anticipait le film de science-fiction Minority Report. Le consortium regroupe 17 institutions européennes, pour la France c'est l'Ensimag de Grenoble. INDECT laisse évidement craindre le pire, à savoir la constitution d'un méga fichier européen issu de multiples croisements. Comme d'habitude INDECT cherche sa justification dans la lutte antiterroriste pour devenir prétexte à surveiller l'ensemble de la population de ses moindres faits et gestes. Et bien nous aussi on vous surveille...

Le site web d'INDECT, Reflets le surveille depuis un moment, ce pour plusieurs raisons :

  • Recueillir des informations sur le projet
  • Admirer les admins du site faire de la m#@$%!

Exceptionnellement, nous allons être un peu plus techniques que d'habitude pour expliquer une erreur humaine qui ridiculise l'essence même du projet. Car si INDECT vise à prévenir les comportement anormaux, les comportement juste cons d'un admin ne semblent, eux, pas poser de problème.

Faire de la m#@$%! sur le site d'INDECT, c'est faire n'importe quoi avec le socle applicatif (Zope) du système de gestion de contenu qui fait tourner le site (l'excellent Plone). Pour vous la faire simple, Zope est un serveur applicatif en Python (avec des grosses briques de C) qui inclu une base de données objets transactionnelle (la ZODB, ou Zope Object Database). Il est possible, depuis la ZMI (Zope Management Interface) de Zope de réaliser des exports d'objets de cette base de données.

Dans Zope, les utilisateurs sont stockés dans un objet nommé acl_users. Il est possible d'exporter cet objet, au format CSV par exemple, ansi que dans un autre format propre à Zope, mais ce n'est pas ici le sujet. L'objet exporté est donc placé quelque part dans un répertoire d'export de Zope.

Mais la combinaison de deux paramètres va faire que cet objet... est accessible au public.

  • Paramètre 1 : la nature du fonctionnement de la ZODB : quand une requête sur un objet est faite et que Zope ne la trouve pas au même niveau de navigation, ce dernier va chercher l'objet automatiquement dans d'autres niveaux de navigation.
  • Paramètre 2 : les mots de passe sont stockés en clair dans la ZODB.

Et vous devinez la suite ?

Ben oui, les mots de passe des deux contributeurs du site se sont bien baladés un moment sur Internet comme en atteste cette capture d'écran :

Dear INDECT, Reflets is watching you...

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée