Journal d'investigation en ligne et d'information‑hacking
par bluetouff

OpenDATA sur l'extranet UMP du Sénat

Rien appris... rien du tout... toujours aussi nuls, toujours aussi ridicules, ils reviennent toujours plus bêtes, toujours plus e-gnares. Un internaute vient de nous signaler non pas un courant d'air, mais un boulevard sur un extranet de l'UMP, et pas n'importe lequel. Comme d'habitude tout est parfaitement public, indexé dans les moteurs... pitoyable. On le savait depuis le fameux d0x qui avait révélé de bien étranges choses, comme des fichiers assez détaillés sur les cadres de l'UMP...

Rien appris... rien du tout... toujours aussi nuls, toujours aussi ridicules, ils reviennent toujours plus bêtes, toujours plus e-gnares. Un internaute vient de nous signaler non pas un courant d'air, mais un boulevard sur un extranet de l'UMP, et pas n'importe lequel. Comme d'habitude tout est parfaitement public, indexé dans les moteurs... pitoyable.

On le savait depuis le fameux d0x qui avait révélé de bien étranges choses, comme des fichiers assez détaillés sur les cadres de l'UMP... le groupe des sénateurs UMP a un extranet. Le concept d'un extranet, c'est qu'il est accessible sur le Net, mais qu'il est sécurisé, seules les personnes autorisées sont censées y accéder. Suite au d0x UMP qui offrait au Net les mots de passe de nombreux parlementaires à ce genre d'extranet, relatif à un défaut de configuration (en fait le serveur était une passoire)... les instances du parti au brillant bilan numérique avaient rassuré la presse, ils allaient renforcer la sécurité de leurs applications. Nos informations faisaient état d'une double authentification... mais vous allez rire.

Quelques mois plus tard, voilà ce que donne le durcissement de la sécurité d'un extranet à l'UMP.

Au début, ça commence pas mal, on a un truc tout bien privé... mais bon sans HTTPS hein des fois que ça soit trop sécurisé.

Très vite, on découvre une seconde authentification

ARTKOM ? C'est quoi ? ... ah une agence de comm' ?? ça commence à sentir mauvais....très mauvais...

Ok on a donc un Extranet réalisé par une agence de comm' dont le site est en construction mais qui propose un blog sympa... un extranet visiblement en prod, pas audité avec des trous tellement énormes (pour ceux qui n'ont pas suivi, on vient juste de bypasser en un seul clic l'authentification de l'extranet là)... qu'il est même possible de vous servir de l'extranet pour remplacer votre compte premium Megaupload :

... blasé !

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée