Avoir un septième sens ne protège pas contre l’ignorance du .htaccess

On ne sait plus si l’on doit rire ou pleurer en lisant les récents articles de Bluetouff parus sur Reflets… En 2014, il y a encore des gens qui ignorent à quoi sert un fichier .htaccess. L’agenceseptiemesens.fr a beau avoir un sixième et même un septième sens, cela ne la protège pas contre l’ignorance. La preuve par 6 (images) :

septiemesens

configdocs
pathtmp

Les bêtises de ce genre ne sont pas une spécialité de cette agence du septième sens. Chez Bygmalion cette fois :

jobsdete

aucoeurdelevallois

Comme disait Bluetouff, un jour, tout ça finira mal.

7efail

Ceci dit, toute intrusion sur ces sites est punie sévèrement par la loi. Vous risqueriez plusieurs années de prison. Ne soyez pas idiots.

Twitter Facebook Google Plus email

Auteur: Antoine Champagne - kitetoa

Dinosaure du Net, journaliste à ses heures. A commis deux trois trucs (Kitetoa.com, Aporismes.com et Reflets.info).

41 thoughts on “Avoir un septième sens ne protège pas contre l’ignorance du .htaccess”

  1. Question stupide : c’est un peu moche et donc ça fait un peu tâche de laisser des répertoires ouverts comme ça, mais ce n’est pas une faille à proprement parler, sinon ? Le phpmyadmin est toujours protégé par un mot de passe, et que la liste des plugins soit disponible… c’est pas la fin du monde, si ?

    (Je pose cette question en toute naïveté, ne me tapez pas)

      1. Encore une question naïve pour le gentil opérateur.

        Quel type d’information contient cette base de données ? Mis à part tous les données personnelles confiées par les employés ou les clients de septièmesens ?

        En gros c’est quoi le risque de laisser trainer les clés de php myadmin sur le paillasson ?

        Merci pour les noob !

        1. Très franchement, on a pas été voir, mais en toute logique elle contient au moins les identifiants et password des comptes du site… les comptes administrateurs, ce qui suffit amplement à constater que c’est un trou de sécu majeur.

        2. Le risque qui est toujours présent ,et c’est justement celui qui est sous-estimé quand les administrateurs supposent que les données hébergées ne méritent pas d’investir dans quelques heures de paramétrage correct (je ne parle même pas de sécuriser le site).
          C’est que le serveur qui est connecté directement sur internet, peut-être piraté au sens propre, et servir de machine pour tout et n’importe quoi, notamment aider à l’anonymisation , faire du spam , pourquoi pas de relais voip , etc…. Ceux qui savent quoi en faire ont beaucoup d’imagination , plus que ceux qui leur laissent la clé en main.

        3. Bonjour,

          Rapide complément pour Clément et d’autres personnes éventuellement intéressées : si la base de données contient effectivement des informations à caractère personnel au sens de la loi n°78-17 modifiée du 06 janvier 1978, il y a un gros souci pour le webmaster/éditeur du site qui sera considéré comme « responsable du traitement automatisé » qui est appliqué à ces données.

          Qu’est-ce que ça veut dire ? En termes simples, c’est aussi clair que ce que vous venez de lire : il est responsable.

          De quoi ?

          Du non-respect de plusieurs dispositions législatives, notamment celles qui imposent au responsable d’un traitement de données à caractère personnel (comme une base de données avec les coordonnées de clients, ou des infos personnelles de salariés utilisées en interne avec adresses, nom, prénom, peut-être le salaire ou d’autres infos) de sécuriser correctement le traitement.

          Article 34 de cette loi, par exemple : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

          Là, clairement, devant un tribunal, un accès aussi ouvert dont on n’a pas besoin de forcer un mot de passe par bruteforce/ingénierie sociale etc, ça se défend difficilement. Et ça fait « tâche » pour une agence d’experts.

  2. Autre question stupide d’une non spécialiste : depuis le temps que vous lancez ce genre d’alerte, ou faites ce genre de démonstration, comment se fait-il que les boites comme l’Agenceseptiemesens, Bygmalion etc ne se préoccupent pas de ce genre de faille, de trou, enfin de clé sur le paillasson comme vous dites ?

    1. Il y a plusieurs facteurs à ça :
      – Raison 1 : ils s’en foutent complètement,
      – Raison 2 : ça les dépasse
      – Raison 3 : les agences de comm’ qui optent pour des mutualisés, c’est qu’ils n’ont pas d’admin, donc pas les compétences en interne

      Mais malgré tout ça, il y a des organisations qui s’obstinent à faire appel à des agences de comm pour piloter le dev, la mise en prod, et le hosting de leurs projets web.

      Pour moi le fail ne vient même pas de ces agences, mais bien des décideurs qui font n’importe quoi.

      1. Ok. Donc si je comprends bien c’est la logique de la cata: on s’occupe de sécuriser le système quand il y a eu une grosse intrusion ou un problème majeur ? Du coup à ce molent-là il faut bien quelqu’un de compétent aux manettes j’imagine…

          1. Tout n’est qu’histoire de coûts d’échelle. Le travailleur qui a les mains dans le cambouis, qui connaît son taf, ça coûte vraiment trop cher pour ceux qui tiennent les manettes du bazar. Payer des entreprises spécialisées, avec des gens qualifiés, des « qui n’en veulent « et qui bossent bien, souvent jeunes en plus : ça va pas la tête, non ? Autant demander au PS de s’intéresser aux sciences sociales…ou à l’UMP de dénoncer les 3% d’impôts payés par la boite de Gataz quand il augmente ses bénéfices de 167% en 3 ans.

  3. Oh merde j’ai ri, c’est franchement énorme. Et me dites pas que vous êtes pas allé tripatouiller le log / mdp pour voir un peu les données en free to play chuuuuuuut :)

    Bref, encore une belle image des décideurs et des incompétents dans le domaine ? C’est à croire qu’il le font exprès, c’est un piège pour touff, pour qu’il aille faire un coup a la Garcimore ^^…

  4. Le plus drôle c’est qu’ils semblent avoir confié le développement à des gens qui se présentent comme spécialistes et ont le site de l’agence dans leur Portfolio…
    Au moins ils ont essayé.
    (Cf. Le remote debug qui pointe chez e-lixir.fr et leur site)

  5. Bonjour,

    Je me permets d’intervenir pour apporter quelques précisions, étant le CTO d’e-Lixir, l’agence web ayant réalisé il y a quelques années le site de l’agence Septième Sens (et n’ayant je le précise aucun lien avec l’UMP ou les autres sites cités :-)

    – Les fichiers de configuration, répertoires de cache… cités dans l’article sont bel et bien protégés via le fichier de configuration .htaccess dans la dernière version en date du code source versionné chez nous, d’où ma surprise à la lecture de l’article.

    – Le temps de se replonger dans le site, nous avons trouvé la raison du problème : quelqu’un d’extérieur à notre agence a modifié le fichier .htaccess depuis nos dernières interventions sur le site il y a 3 ans, pour ajouter des règles de réécriture. Problème : il ou elle a mal encodé les sauts de ligne du fichier (sur un mac ?), avec pour conséquence que la corruption de celui-ci : l’essentiel du fichier était désormais ignoré par le serveur

    – Je souscris totalement à la pratique de sécurité, répétée moult fois par Reflets.info, qui veut que les fichiers de configuration ne soient pas placés en dessous de la racine web (donc dépendant uniquement du .htaccess pour leur protection). Le site date toutefois d’une époque (l’utilisation de Cufon dans le code source trahit son âge ;-) où son hébergement ne donnait pas accès à d’autres répertoires que celle-ci, expliquant la solution choisie qui reste encore courante sur des hébergements mutualisés.

    – A toute chose malheur est bon. Que le problème relevé serve d’avertissement à tout développeur web, néophyte, confirmé ou intervenant juste ponctuellement sur un hébergement : la modification d’un fichier .htaccess n’est JAMAIS à prendre à la légère, et doit nécessairement donner lieu à des tests !

    Si j’apprécie grandement à titre personnel Reflets.info et la teneur habituelle de vos articles, je me permets toutefois quelques remarques critiques sur celui-ci :

    – Le ton de l’article laisse supposer (cf commentaire de Clement) qu’une attaque par rebond est possible via le site de l’agence Septième Sens et la compromission de leur base de données. Je n’ai aucune info sur les sites web développés par ou pour celle-ci, mais le leur est un mini-site statico-dynamique, et ne contient absolument aucune information confidentielle, d’où son hébergement minimaliste.

    – Même si nous ne sommes pas nommés directement dans l’article, un lecteur attentif a pu repérer une adresse email de deboguage dans la capture d’écran publiée et notre nom est indiqué en toute lettre dans le footer de l’interface d’administration, dans les fichiers de conf, etc… Il a difficilement pu échapper au rédacteur de l’article. Avant de publier un papier comme celui-ci, la moindre des choses est de prévenir l’agence en amont, comme vous l’avez fait par le passé.
    Si réellement il y avait eu faute de sécurisation de notre part et que la base de données avait contenu des informations confidentielles, rien n’empêchait certains de vos lecteurs de ne pas avoir la rigueur de votre rédaction.

    Je suis à votre disposition si vous souhaitez me contacter. Et si vous pouvez remonter ou citer mon comment en bas d’article, je pense que l’information complémentaire est intéressante pour vos lecteurs.

    @Clement, Blendin’: comme indiqué, la base de données ne contient aucune information sensible
    @bluetouff:
    (1) full discolure: compte admin permettant de gérer la liste des références (un champ nom uniquement) présente sur l’une des pages du site. C’est tout.
    (2): pour ton deuxième commentaire, je trouve que dans le cas précis que c’est un faux procès, l’origine du problème se situant dans une manipulation erronée (qui en soit peut arriver à tout le monde). La charge contre les mutualisés est aussi hors propos selon moi, quand on parle d’un site de 4 pages.
    @Vince: Ne mélangeons pas tout, en l’occurrence le site cité est un mini site vitrine facturé par e-Lixir à Septième Sens. Rien à voir avec Bygmalion, ni leurs tarifs (malheureusement pour mon compte en banque).

      1. Je me disais bien que cela ne vous ressemblait pas de publier l’article sans cette précaution. Je les ai eu au téléphone tout à l’heure, il s’avère que votre email était passé en spam. Ils ont appris le problème hier après-midi après avoir été appelés par un internaute leur signalant votre article.
        Plus d’infos dans mon nouveau commentaire à la racine des comments.

  6. Hello,

    Nous ne vous avons effectivement pas directement nommé dans l’article pour la simple et bonne raisons que nous nous doutions un peu de ce qui avait pu se passer.D’ailleurs ce n’est même pas la qualité du code qui est mise en cause ici mais une mauvaise pratique d’administration système, à rattachér à des pratiques simples sur un hosting mutualisé.
    Perso je penchais pour une migration d’hébergement faite un peu à l’arrache.
    J’ai avancé plus haut 3 raisons possibles pour expliquer « l’erreur » et encore une fois elle ne vous concerne pas, ça crève les yeux…
     » Raison 1 : ils s’en foutent complètement,
    – Raison 2 : ça les dépasse
    – Raison 3 : les agences de comm’ qui optent pour des mutualisés, c’est qu’ils n’ont pas d’admin, donc pas les compétences en interne »
    En clair ce qui leur manque c’est un hébergement infogéré, mais au lieu de ça on constate les mêmes erreurs sur les sites de leurs clients… et là ça devient grave.

    Le problème est aujourd’hui qu’il suffit d’un dump avec un identifiant et un password commun à la db de leur site et à celle de leurs clients. Pour moi le risque est bien réel, je ne sais pas combien de comptes ils se sont créés ni pour qui avec des droits admins, mais je les imagine mal utiliser des passwords différents d’un site à l’autre quand je vois ça.

  7. Ah j’oubliais…

    « (2): pour ton deuxième commentaire, je trouve que dans le cas précis que c’est un faux procès, l’origine du problème se situant dans une manipulation erronée (qui en soit peut arriver à tout le monde). La charge contre les mutualisés est aussi hors propos selon moi, quand on parle d’un site de 4 pages. »

    Il y a confusion sur la cible :
    1° ce n’est pas votre société que cet article vise mais bien l’agence septième sens
    2° l’erreur une fois je veux bien, sauf que là : http://www.ump-senat.fr/prive/
    3° la charge contre le mutu, là encore ce n’est pas de leur site dont je parle mais bien de celui des sénateurs de l’ump :

    ump-senat.fr (213.186.33.16)

    inetnum: 213.186.33.0 – 213.186.33.255
    netname: OVH
    descr: OVH SAS
    descr: Shared Hosting Servers

    Et ce n’est pas tant le mutu qui me dérange, car ils pourraient mutualiser plusieurs sites sur un serveur mutualisé qu’ils administrent, ce qui montreraient qu’il y a bien au moins un admin aux commandes…

    Là quand je regarde le footer du site ump-senat.fr je lis « Réalisation Agence Septièmesens », et au final, désolé de poser la question aussi brutalement… je me demande ce qu’ils ont réalisé.

    1. Je comprends votre réponse. Mon intervention portait en effet sur le site de l’agence Septième Sens, sujet de cet article. Et en tant que directeur de l’agence s’étant occupé du site, le problème pour moi n’est pas que l’article nous vise nous ou pas, mais qu’objectivement le site se trouve sous notre responsabilité.
      Plus d’infos dans mon nouveau commentaire à la racine des comments.

  8. Bonjour, je sais que vous allez avoir envie de vous taper la tête par terre à la lecture de ce commentaire, mais je ne comprends pas ce que vous avez fait pour avoir accès à ces données… Enfin ces sortes de « fichiers ». Bref j’ai bien vu que vous avez eu accès à des données mais je n’ai pas compris comment ni ce que vous en avez fait ensuite.

    Oui, je suis un boulet ignorant :smile:

    Quelqu’un peut-il m’éclairer?

  9. Je rebondis sur vos réponses pour apporter un complément d’informations. Désolé, ça va être à nouveau être un peu long :-)

    Lecteur de Reflets.info et de profil technique, j’ai tenté d’expliciter votre position et le sens de votre action à Septième Sens, qui a du mal à comprendre la suite d’articles les mettant en cause.

    A l’inverse, ayant eu l’occasion de travailler pour eux, concerné par le sujet et souhaitant être constructif, il me semble important de porter à votre attention et à celle de vos lecteurs certains faits :

    – Septième Sens n’est pas une agence web, ni une agence technique. A ma connaissance, ils n’ont jamais prétendu l’être.
    – Comme beaucoup d’agences, ils choisissent donc de faire appel à des prestataires externes pour la réalisation technique des sites qu’ils conçoivent (ergonomie, charte graphique…).
    – En ce qui nous concerne, je peux témoigner que cette démarche relève d’un vrai partenariat de compétences, affiché et assumé auprès du client final. Pour avoir eu suite à cette affaire la personne en charge du site ump-senat.fr au téléphone, je peux confirmer qu’il en est de même dans son cas.

    Développeur web depuis que le web existe, et ayant monté une agence web depuis 10 ans, j’adhère complètement au fond de votre discours, à nouveau explicité dans votre article d’hier. Oui, le développement et l’administration web sont de vrais métiers. Oui, et je le sais en connaissance de cause, le développement web en interne dans les agences de com est souvent une catastrophe. Et oui in fine, il y a une vraie responsabilité du donneur d’ordre, qui doit prendre en compte cette problématique de la multitude de compétences à mettre en oeuvre pour son site au moment de choisir le ou les intervenants sur un projet.

    Disons le tout de suite : comme j’ai pu l’expliquer à Septième Sens, si je me mets à votre place et m’imagine auditer successivement de l’extérieur le site du groupe UMP et le site de l’agence, j’aurais sûrement abouti aux mêmes conclusions que vous, et analysé la situation de la même façon.

    A la lumière des faits toutefois, il me semble que, tout en étant d’accord avec vous sur le fond, la situation servant d’illustration à votre propos en est en fait assez éloignée.

    En premier lieu par le fait que Septième Sens n’a assuré le développement d’aucun des 2 sites cités, faisant pour cela confiance à ses partenaires. Des partenaires différents qui plus est, impliquant que ce qui est présenté comme des mauvaises pratiques intrinsèques à l’agence ne résulte ici que d’un concours de circonstances.

    J’ai expliqué dans mon premier commentaire la raison du problème impactant agenceseptiemesens.fr, qui tient à une mauvaise manipulation et pas à l’ignorance d’une règle de sécurité. Si les effets en sont, c’est évident, tout aussi désastreux, la nuance est quand même importante vu que l’affirmation sert de postulat à la suite de votre argumentation.

    Je n’ai aucun moyen de savoir qui a procédé à l’erreur d’édition en cause. La seule chose dont je sois sûr, c’est qu’elle était impossible lors de la procédure de déploiement et mise en production classique, ce qui implique une modification manuelle ponctuelle du fichier en question. Contrairement à ce que j’expliquais dans mon premier commentaire, il est même probable que ça soit venu d’un de mes gars car, après échange avec Septième Sens, personne d’autre n’intervient sur le FTP en question (notamment pas eux). Quoi qu’il en soit, nous avons développé le site. Si quelqu’un doit prendre la responsabilité du problème, c’est à nous de le faire. C’est en tout cas comme ça que je conçois mon métier, d’où mes explications présentes.

    Concernant ensuite le contenu de l’article « Pourquoi le site des sénateurs #UMP doit être considéré comme compromis ? », c’est là que la formulation est à mon sens maladroite et ne reflète pas la vérité.

    Non, « les clefs [ne] sont [pas] sous le paillasson ». Le site de l’agence n’est qu’un micro-site vitrine, sans aucune business logic derrière ni aucune information confidentielle. L’ironie de la situation, c’est que si l’erreur de manipulation a pu rester indétectée, c’est justement PARCE QUE le site ne comporte quasiment aucune fonctionnalité dynamique, ne causant donc pas les retours d’erreurs qui auraient dû se produire après que la plupart des directives du .htaccess aient été de facto ignorées.

    Et non, les identifiants utilisés par Septième Sens pour administrer la liste de références présentes sur une des pages de leur site ne sont pas utilisés dans d’autres interfaces, contrairement à ce que pouvait craindre bluetouff.

    En prenant ces éléments en compte, comprenez que la formulation suivante apparaisse ambigüe : « Et après ? Et après c’est une histoire dramatiquement banale : une personne mal intentionnée récupère l’ensemble de la base de données puisque comme d’habitude, les clés sont sur le paillasson ».

    En ce qui concerne le site ump-senat.fr, notre agence étant complètement étrangère au projet je ne peux pas vous apporter plus d’informations. Mais comme il me semble qu’objectivement la tonalité de l’article en question n’aurait pas été la même sans le problème impactant agenceseptiemesens.fr, et qu’en l’occurence
    – j’en assume la responsabilité,
    – son ampleur est dans les faits bien moindre que celle évoquée implicitement dans l’article,
    il me semblerait juste que vous y apportiez des précisions.

    D’autant qu’encore une fois, les questions de fond méritent d’être posées.
    Mais je ne pense pas que Septième Sens soit l’exemple rêvé pour illustrer votre propos.
    Ni qu’ils méritent l’impact catastrophique sur leur image dû à ce concours de circonstances, ou d’être associés dans l’esprit des lecteurs à certaines agences malfaisantes sans lesquelles la profession se porterait bien mieux.

      1. Bah ils utilisent NGINX c’est pour ça :P

        Enfin bon à de rares exceptions près je pense que toute personne qui développe des applis web connait ces fichiers, ce que certains ne connaissent pas par contre ce sont leurs fonctionnement exact & les bonnes pratiques à appliquer, ils copient ces fichiers sans même y réfléchir.

  10. s’pamafot’
    s’pamoicelui
    sp’amoiqui :
    commande
    a fait

    -rayez la mention inutile-

    Puis revisez l’experience de milgram, au gout du jour ;)
    A cela je dis finalement OUI, vous etes responsable.

    1. parce ce qui paie de nos jours c est pas la competance mais le bla bla. c est pour ca qu un commercial va gagner bien plus qu un technicien et que les SSII font fortune en vendant de l informaticien au kg (bon j exagere un peu, c est a l ajournee pas au kg comme chez le boucher).

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *