Emmanuel Macron et son mot de passe…

Les équipes de sécurité informatique de En Marche à la recherche d’une SQL injection

Nous l’avons vu ces derniers jours les équipes de En Marche, le parti d’Emmanuel Macron, sont en mode opération de communication maximale à propos des méchants hackers russes qui tentent de pirater le site en-marche.fr. Mais rassurons-nous, pas une seule opération de phishing. Juste des injections SQL, des DDoS et des fake news (c’est hype).

Nous avons appris par les équipes de En Marche que le parti s’est doté de pas moins de six experts en sécurité informatique, ainsi qu’un ancien patron du CNNum.

Pour parfaire son « infrastructure sécurisée » l’équipe de campagne a passé un coup de carte bancaire chez CloudFlare, et un autre apparemment chez Google. Vie privée et souveraineté numérique ne sont pas de vains mots.

Ceci dit, cette fine équipe aura sans doute demandé à Emmanuel Macron s’il avait des comptes sur des plateformes dont il est notoire qu’elles ont été piratées, et que des crédentiels ont leaké.

Cela aura été utile car, comme nous l’a fait remarquer un lecteur, Emmanuel Macron disposait d’un compte Dropbox qui a fuité.

Emmanuel Macron - Haveibeenpwned
Haz he been pwned?

Le mot de passe fait partie de la moitié des comptes Dropbox fuités hachés grâce à SHA-1 et à un sel. Pas à l’abri d’une attaque en dictionnaire voire en bruteforce, donc. Gageons que ses 6 responsables en sécurité lui auront conseillé de ne pas le réutiliser…

On imagine aisément combien son mot de passe pourrait être intéressant dans le cadre d’une opération de déstabilisation un peu sophistiquée du nouveau messie de la politique française.

A sa décharge, on peut citer quelques parlementaires qui utilisaient eux aussi la plateforme américaine.

En attendant, 8 jours après le signalement initial, la plantureuse équipe d’experts en sécurité informatique n’a toujours pas trouvé comment mettre à jour son WordPress.

Pas plus que les équipes de François Fillon. Avec tous les « hackers russes » qui traînent dans le Marianas Web, ce n’est pas bien prudent…

Twitter Facebook Google Plus email


19 thoughts on “Emmanuel Macron et son mot de passe…”

    1. wag, je ne le vois pas comme ça.

      Je suis encore une fois certainement naïf et trop bienveillant mais je le verrais plutôt de la part de la rédaction de Reflets comme un exemple significatif pointé du doigt pour tenter d’évangéliser sur ce qu’on appelle simplistement « l’hygiène de la sécurité informatique ».

      Ces garçons (il y a des filles chez Reflets ^^ ?) ne peuvent pas être définitivement remplis de mauvaises intentions… Sinon nous ne les lirions plus !

      Bon, blague à part, je devrais peut-être pas écrire cela, mais c’est ne serait-ce pas une façon élégante de dire à E. Macron que s’il utilise toujours le même mot de passe, il serait ***URGENT*** de le changer ^^ :)

      Tu sais comme moi que les mauvaises habitudes n’ont que trop la vie dure…

      1. Moi, des gens qui tentent d’alerter les techs de Macron ou Fillon ou Le Pen ou ceux de n’importe lequel des autres politiciens sur les failles de leur sécurité,
        au cas où des infos « intéressantes » puissent être ensuite fuitées par exemple par Wikileaks au service de l’éclairage des citoyens,
        et bien je me me dis que ces gens là………………………….!!!

      1. Comme quoi il en reste toujours quelquechose. En quoi l’article montre que ce sont « des bouses » ? Mon mail aussi est dans la liste, comme le mail de beaucoup d’experts en sécurité.

        On sent surtout une très forte volonté de discréditer au maximum Macron par tous les moyens possible, donc ça gratte au maximum et ça publie même ce genre de truc.

    2. Les informations intéressantes sont :
      – la non mise à jour du wordpress (déjà publié ici)
      – le passage soudain à cloudflare + google
      Car elles démontrent l’incompétence de l’équipe de sécurité, et donc discrédite ces annonces tellement opportunes d’attaque russes …

      L’histoire du mot de passe rend juste l’article amusant et un peu piquant, ça a marché avec toi on dirait :)

      1. Le leak dropbox date de 2012, il contient plusieurs choses :
        – 36.815.462 de comptes emails avec un mot de passe SHA1 salted
        (le sel n’est pas donné dans le leak, ce qui ne permet de pas de casser les mots de passe très facilement)
        – 31.865.280 de comptes emails avec un mot de passe blowfish
        (commençant par $2a$, le sel étant donné)

        Comme on le voit sur le screenshot publié dans cet article, l’email de M. Macron fait partie de cette 2e catégorie de hashs, ce n’est donc pas du SHA1 comme mentionné dans l’article.

        J’ajoute que la présence de politiques dans des bases de données fuitées n’est pas une surprise, et n’apporte ici rien au débat quant à la sécurité de l’équipe Macron.
        Si son équipe fait le boulot correctement, elle a déjà fait en sorte de changer tous les mots de passes et de faire un check de sécurité autour du candidat.

        Le choix de cloudflare n’est pas nécessairement un choix déraisonnable, CloudFlare a un firewall web applicatif très performant pour contrer les XSS et les SQLi, ce qui ne sera pas un luxe pour protéger le WordPress.

  1. Article de pure mauvaise foi qui s’appuie sur une information sans intérêt (Macron a eu un compte Dropbox en 2012, comme des dizaines de Millions de personnes) pour insinuer que son équipe est incompétente et ment sur l’origine du hacking.

  2. Je suis d’accord sur le fond, mais pas grand chose de nouveau. Perso ce qui m’énerve le plus c’est Hollande qui nous dit en fin de quinquennat que la sécurité informatique c’est important dans la vie ! Franchement… J’ai jamais entendu un seul politique parler des vrais problèmes liés au vol de données ou à l’interception de leurs communications… A croire qu’ils ne réalisent vraiment pas les enjeux.

    1. L enjeux c est la secur… heu la surveillance massive des internautes a coup de sondes « de test ».
      Meme que suite a cette histoire va probablement une loi de censure administrative (sans juge) pour nous proteger des ip russes d ukraine et de la propangande russe payé à « 100% par le régime… » (et aussi un peu par la pub).
      Bien sur evitons les theories du complot…

      Plus serieusement, c’est quand que ces types filent dans une institution psy en raison de leur perte de contact manifeste avec la realité, tendance paranoia ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *