Ceci est une négligence caractéristique…

fail

Souvenez vous, nous étions en 2011, Franck Riester préparait les législatives de 2012. Comme l’immense majorité des politiques, Franck Riester achète son pain chez le boucher, et fait faire son site web par une agence de communication dont on parle étrangement beaucoup aujourd’hui et que nous avions déjà repéré en 2011 : Idéepole du groupe Bygmalion.

Nous relevions à cette époque une petite négligence caractérisée sur le site du rapport es-HADOPI, une loi très populaire comme il aimait à le dire sur le perchoir de l’Assemblée.

Le site web était réalisé sur la base du système de gestion de contenu Contao, tout comme le site de Jean-François Copé à 500 000 euros, et pissait des emails à foison.

Aujourd’hui, si le site web est toujours en ligne, il n’est dans les mentions légales plus fait état de l’entreprise en charge de sa réalisation. Mais un autre détail est venu chatouiller notre curiosité.

Petit mode d’emploi pour tuer toute la planète… (et sans Google !)

Capture d’écran 2014-06-18 à 11.24.12

Sur cette page, on trouve un email de contact « franckriester@riester2012.fr ». Quand on se rend sur le domaine http://riester2012.fr, on se rend compte qu’il n’y a plus de site web… comme on s’y attendait. On vérifie donc que le domaine, sur lequel est hébergé le mail de contact du site officiel du député est toujours déposé… et là… surpriiiiise ! (ou pas).

Capture d’écran 2014-06-18 à 11.14.52Traduction : le domaine est libre, il n’est plus déposé.

Vérification :

Capture d’écran 2014-06-18 à 11.16.38

Le domaine est libre, n’importe qui peut l’acheter, se l’approprier…. Oui mais après ?

Après c’est l’histoire d’une compromission majeure classique par récupération de nom de domaine. Il suffit de recréer une adresse franckriester@riester2012.fr avec le nom de domaine pas tout neuf mais tout disponible indiqué sur le site officiel de Franck Riester, pour à loisir :

  • opérer une campagne de phishing ;
  • usurper l’identité de Franck Riester avec ses collègues parlementaires ;
  • se faire renvoyer les mots de passe des services auxquels il a surement souscrit avec cette adresse…

Bref… c’est avec une certaine lassitude que l’on répétera une fois de plus dans ces pages : on ne fait pas faire un site web par une agence de comm’ car les clés finissent toujours sur le paillasson.

NB : l’usurpation d’identité est un délit puni d’un an d’emprisonnement et de 15 000 € d’amende (CP Article 226-4-1)

Twitter Facebook Google Plus email

17 thoughts on “Ceci est une négligence caractéristique…”

  1. Ok, le domaine est libre, n’importe qui peut le racheter et se faire un email en prenomnom@nom2012.fr. Et après ? Il n’a probablement jamais utilisé cette adresse lui-même, ça devait renvoyer au mieux chez un assistant, au pire dans la boîte de com’.

    Du coup, il n’y a probablement pas de service associé à cette adresse, et il ne l’a probablement jamais utilisée auprès de l’un de ses collègues parlementaires. Et si ses collègues se font avoir par cette adresse, ils se feront probablement avoir par n’importe quelle adresse contenant le nom et le prénom de l’individu. Et pour le phishing, c’est pareil, la victime classique de phishing se ferait avoir par à peu près n’importe quoi.

    Évidemment, j’ai mis des « probablement » partout… Ça reste désolant de voir le manque de culture informatique des gens, et surtout l’incompétence crasse des gens qui vendent des sites webs…

    1. Et imaginons que mr Riester ai encore quelque part un client mail qui cherche à se connecter à ce serveur… Facile de mettre derrière ce domaine un serveur qui récupérerais le mot de passe fourni par ce client.
      A votre avis, le mot de passe pour cette boite est-il différent de celui qu’il choisi pour les autres services ?

      Et comme dit dans l’article, ça reste un très bon moyen d’usurper son identité.

    1. Vu que ce dernier contient son nom, j’ai envie de te dire que oui, le juge peut estimer qu’il s’agit d’une usurpation d’identité.
      Et ça ce n’est que le début, car si c’est fait dans une intention malicieuse, tu risques même un combo avec des peines plus lourdes.

  2. Ça ne pouvait vraiment pas tomber plus bas que les infos mysql en clair de toute manière…. Doit encore y avoir des perles à trouver. La prochaine fois on trouvera peut être le compte root du serveur qui peut savoir avec ces gens là ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *