OpenDATA sur l’extranet UMP du Sénat

Rien appris… rien du tout… toujours aussi nuls, toujours aussi ridicules, ils reviennent toujours plus bêtes, toujours plus e-gnares. Un internaute vient de nous signaler non pas un courant d’air, mais un boulevard sur un extranet de l’UMP, et pas n’importe lequel. Comme d’habitude tout est parfaitement public, indexé dans les moteurs… pitoyable.

On le savait depuis le fameux d0x qui avait révélé de bien étranges choses, comme des fichiers assez détaillés sur les cadres de l’UMP… le groupe des sénateurs UMP a un extranet. Le concept d’un extranet, c’est qu’il est accessible sur le Net, mais qu’il est sécurisé, seules les personnes autorisées sont censées y accéder. Suite au d0x UMP qui offrait au Net les mots de passe de nombreux parlementaires à ce genre d’extranet, relatif à un défaut de configuration (en fait le serveur était une passoire)… les instances du parti au brillant bilan numérique avaient rassuré la presse, ils allaient renforcer la sécurité de leurs applications. Nos informations faisaient état d’une double authentification… mais vous allez rire.

Quelques mois plus tard, voilà ce que donne le durcissement de la sécurité d’un extranet à l’UMP.

Au début, ça commence pas mal, on a un truc tout bien privé… mais bon sans HTTPS hein des fois que ça soit trop sécurisé.

Très vite, on découvre une seconde authentification

ARTKOM ? C’est quoi ? … ah une agence de comm’ ?? ça commence à sentir mauvais….très mauvais…

Ok on a donc un Extranet réalisé par une agence de comm’ dont le site est en construction mais qui propose un blog sympa… un extranet visiblement en prod, pas audité avec des trous tellement énormes (pour ceux qui n’ont pas suivi, on vient juste de bypasser en un seul clic l’authentification de l’extranet là)… qu’il est même possible de vous servir de l’extranet pour remplacer votre compte premium Megaupload :

… blasé !

Twitter Facebook Google Plus email

113 thoughts on “OpenDATA sur l’extranet UMP du Sénat”

  1. je raconte ça à quelqu’un qui n’est pas trop fan ni expert de trucs sécu : un extranet troué.. – ouais, bon, et ? – ben en fait tu peux te faire ton compte megaupload-like sur l’extranet du sénat .. – ça commence à devenir intéressant … ;+P mwuahhahaha

  2. Très sympa les petits fichiers dans ce mégaupload-ump-senat surtout le petit pdf.

    Qui se sent de mètre des fichiers sous copyrigth histoire qu’on leur coupe leur connexion (ils avaient qu’a sécuriser leur connexion !)… ah c’est vrai, c’est l’ump, leurs lois ne sont pas utilisables contre eux…

    1. ya des petits softs qui permettent de réveler l’arbo des sites web en suivant toutes les URLs ou en testant des urls par dictionnaire. Ca marche plutot bien(attention, c’est vite repérable dans les logs vu que tu sniffe toutes les pages). Celui que j’utilise c’est IntelliTamper, il est bien mais il date, il buggue un peu et n’est plus maintenu…

  3. Mon préféré reste le dossier help pour savoir configurer le uploader javascript…

    sinon, vive la préférence nationale, on fait bosser une boite de com française (Marseille) sur un hébergeur français (OVH)

    1. j’ai eu vaguement le temps d’entendre parler d ‘un script php (eddyrun on 12 mars 2012 at 14 h 37 min :
      « c’est qui le malin qui a uploadé un fichier php (de test, hein) qui s’exécute sur le serveur … »)
      A partir de là : tous est possible ^^ !!

          1. je me demande combien de personnes sont rentrés en « concurrence » pour mettre des trucs sur le ftp ^^

  4. Et quand on tente de poster un lien sur Facebook, voilà ce qui est mis :
    « Le contenu que vous essayez de partager contient un lien qui a été bloqué car il contient des messages indésirables ou dangereux :

    ump-senat.fr »

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *