Journal d'investigation en ligne et d'information‑hacking
par bluetouff

Les petites négligences caractérisées de Franck Riester

Pour fêter l'arrivée du député Riester sur Twitter, Reflets.info ne résiste pas à la tentation de contribuer à l'effort pédagogique en matière de sécurité informatique, que nous avions déjà initié avec TMG, et si ardemment souhaité par Franck Riester. Cette volonté pédagogique qui transpire dans HADOPI 1 et 2, brillant texte que le député a honoré de ses plus belles et sincères tirades tout au long des "débats", en tant que rapporteur.

Pour fêter l'arrivée du député Riester sur Twitter, Reflets.info ne résiste pas à la tentation de contribuer à l'effort pédagogique en matière de sécurité informatique, que nous avions déjà initié avec TMG, et si ardemment souhaité par Franck Riester. Cette volonté pédagogique qui transpire dans HADOPI 1 et 2, brillant texte que le député a honoré de ses plus belles et sincères tirades tout au long des "débats", en tant que rapporteur.

La pédagogie, sur un site web, ça commence souvent par un robots.txt.

Et quand le robots.txt est aussi bavard, et le cms aussi bien "documenté"... on tombe par exemple là dessus... un changelog qui a le bon gout de nous donner le numéro de version... et argh ... il n'est pas à jour !

Simple curiosité, une petite recherche dans Google ... et là.. c'est le drame , le site est vulnérable à une petite XSS toute mignonette... ça commence à sentir la négligence caractérisée

Et comme on est en pleine période de tragédie grecque, le drame ne s'arrête pas là, la négligence est tellement caractérisée que le site affiche aux 4 vents son (très bavard) Error Log !

EDIT : Le error.log contient un epic path disclosure... carrément énorme, qui ressemble à une bonne blague de geek. L'hébergeur semble tellement fan des travaux du député qu'il a rangé ce site dans un répertoire un peu particulier... Et il est où le site de Franck Riester ? .... DTC !!

Le député Riester ne nous avait pas menti, HADOPI est une loi vraiment très populaire.

Re-EDIT : Le DTC pourrait en fait correspondre à ceci. Il ne s'agirait donc pas de l'acronyme d'un hébergement de type "Dans Ton Cloud".

Re-Re-Edit : Et pour parfaire le décor, un internaute nous signale une belle fuite de données personnelles sur le site du député Riester, une bien chouette base de données pour spammeurs (vu qu'il y a des données personnelles, Reflets ne communiquera pas le lien) :

Bienvenue sur Twitter monsieur le député, le réseau social qui vous rendra au centuple toute la pédagogie dont vous avez su faire preuve avec Internet... ceci est un échange de bons procédés.

Afin de mieux sécuriser votre site web, nous vous proposons comme solution d'appliquer le patch firewallesque OpenOffice à l'aide la commande

# apt-get install OpenOffice-Fw-edit-beta2

NB : aucune intrusion n'a été réalisée pour accéder à ces données, en cliquant sur les liens de cet article, vous verrez que tout est parfaitement public... peut être le fruit d'une négligence caractérisée, un peu comme le décret d'application qui omet de définir ce qu'est une connexion à Internet ?... allez savoir.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée