Journal d'investigation en ligne et d'information‑hacking
par bluetouff

Bygmalion, Artkom, Septiemesens : indécrottable UMP... who's next ?

Souvenez vous, c'était en novembre 2011, tout l'UMP était vent debout suite au piratage d'une base de données des parlementaires du groupe UMP. Nous avions abordé le sujet ici, puis là et enfin nous avions expliqué dans le détail ce qui nous paraissait le plus choquant dans cette affaire de fuite de données personnelles touchant des personnalités publiques : c'est qu'un tel fichier ai pu être constitué. Les questions qu'on se posait alors étaient : Par qui ce fichier a été constitué ?

Souvenez vous, c'était en novembre 2011, tout l'UMP était vent debout suite au piratage d'une base de données des parlementaires du groupe UMP. Nous avions abordé le sujet ici, puis et enfin nous avions expliqué dans le détail ce qui nous paraissait le plus choquant dans cette affaire de fuite de données personnelles touchant des personnalités publiques : c'est qu'un tel fichier ai pu être constitué. Les questions qu'on se posait alors étaient :

  • Par qui ce fichier a été constitué ?
  • Dans quel but ?

A ces deux questions, des pistes plus ou moins fantaisistes avaient été évoquées, dont celle d'un fichier constitué par les renseignements intérieurs. Nous avions vite balayé cette hypothèse car il nous semblait improbable que la DGSI constitue une base de données, au format SQL, accessible à tous vents. La thèse de l'exploitation d'une vulnérabilité dans une application destinée aux parlementaires de l'UMP, avancée par le député Tardy, nous avait alors semblé bien plus plausible. Un peu plus tard, le ou les auteurs présumés de l'intrusion (ou pas), confirmaient dans un communiqué sur Pastebin d'où émanait la fuite, pointant du doigt une société : Mes Conseils. Mais l'hébergeur, vers lequel tout le monde avait les yeux pointés est aujourd'hui fermé, ce qui est d'autant plus consternant qu'il n'est certainement pas le seul à être responsable de cette fuite de données, qui est tout autant imputable :

  • A une mauvaise gestion de projet qui ne s'est probablement pas assurée du savoir faire des sous-traitants, ni même n'a observée les bonnes pratiques d'une recette sérieuse avant la mise en ligne de la production  ;
  • A un mauvais développement ayant rendu possible une telle fuite (nous alertions déjà explicitement en 2011 que l'UMP avait pour coutume de faire développer ses applications par des agences de communications et non des entreprises spécialisées dans le développement d'applications web)

Un peu plus tard, en mars 2012, un autre incident de sécurité assez alarmant lui aussi, bien que prêtant moins à conséquences, enfonçait le clou sur le choix systématique de se tourner vers des agences de communication en lieu et place de professionnels du développement. C'est l'extranet des sénateurs UMP qui goutait à son tour et malgré lui aux joies de l'open data. Derrière cette jolie incongruité, c'est l'agence Artkom que l'on retrouvait. Les taquins noteront que l'agence ne semble pas avoir compris la leçon et continue à configurer ses machines avec les pieds.

Indécrottables...

Comme nous le découvrons une fois de plus en 2014, l'UMP n'a toujours pas compris que ce n'est pas chez le boucher qu'on achète son pain et s'obstine à s'adresser à des agences de communication. C'est donc trois ans plus tard, à la lumière des nouvelles informations sur les pratiques de l'UMP et de son prestataire Bygmalion que de nombreux confrères journalistes commencent à faire un lien entre la compromission de 2011 et les affaires de sur-facturation de l'UMP par l'agence de communication.

Pourquoi penser à Bygmalion ? Ok, c'est vrai, la sécurité, ce n'est pas leur point fort. Cependant, nous allons voir que leur prêter tous les maux de l'UMP n'est pas foncièrement des plus justes non plus.

Bygmalion ? Mauvaise pioche !

L'application à laquelle on a imputé la fuite se nommait Parlenet, et si on se réfère aux balises métas que l'on trouve encore dans le source HTML de la page conservée en mémoire par Webarchive, c'est la société Micro Age Services, aujourd'hui radiée, qui serait à l'origine de son développement. Voici le bout de code en question :

name="Keywords" content="Parlenet, Députés, Micro Age Services, Site pilote" />

Cette page encore présente sur Webarchive nous renseigne sur un autre point capital, cette application date d'au moins 2008 puisque la capture de Webarchive fait état de la page d'authentification de l'application Parlenet, alors hébergée dans un répertoire du site Mes-Conseils.fr datant du 11 novembre 2008.

On retrouve le tandem Micros Ages Services / Mes Conseils par exemple sur le site web du député UMP de l'Aveyron Alain Marc (amis geeks, soyez indulgents, le site n'est pas de toute première fraicheur... ni du meilleur goût).

Micro Age Services était alors dirigée par Michel Lancel qui n'a à notre connaissance pas de lien connu avec Bygmalion. Du côté de Mes Conseils, même constat, les deux co-gérants, messieurs Boutin et Kowalsky n'ont à notre connaissance pas de rapport avec Bygmalion.

Conclusion : l'incident de sécurité de 2011 ayant conduit à cette fuite d'informations (qui comprenait par exemple les numéros de téléphones portables des parlementaires), n'a pas grand chose à voir avec Bygmalion.

Quand on vous dit indécrottables....

Regardons un instant non plus l'extranet mais le site web des sénateurs UMP. Si on le compare à l'extranet, on voit que la peinture a changé, que la solution logicielle de gestion des contenus a changé... mais ce qui n'a pas changé c'est la configuration emmental du serveur web, ou dans notre cas, sur un mutualisé, l'apprentissage douloureux du fichier .htaccess pour les nuls :

Le site des sénateurs de l'UMP, hébergé (lui aussi) sur un mutualisé OVH est l'oeuvre de ... l'agence de conseil en communication Septiemesens comme indiqué dans le pied de page du site web. Et ils font quoi Septiemesens ?

Agences de comm', un cybercrimel vous parle

Mon nouveau statut de pas journaliste cybercriminel qui a osé se maintenir dans un espace public à très envie de tirer quelques oreilles quand il tombe sur ce genre de choses, même si ça ne prête pas (tout de suite) à conséquences... soyez bien conscients que ça fini toujours mal ce genre de choses, il suffirait par exemple que quelqu'un glisse un document confidentiel dans ce répertoire, ou que le webmaster ne fasse un backup de sa base SQL dans un sous répertoire.... ça se termine toujours comme ça.

Tant que l'UMP s'évertuera à s'adresser à des agences de communication et gèrera ses projets n'importe comment, ça se passera toujours comme ça.

EDIT : Et comme prévu, Kitetoa vous démontre pourquoi et comment ça finit mal, nous y reviendrons probablement demain...

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée