Journal d'investigation en ligne et d'information‑hacking
par Antoine Champagne - kitetoa

Quand les sites de l'UMP et du PS étaient complètement troués

C'est avec un certain amusement que j'ai lu les tweets et l'article de Bluetouff ce week end à propos du DDoS du site du PS. Lors des dernières élections présidentielles, les sites du PS et de l'UMP étaient totalement troués. Avec un simple navigateur et sans aucun piratage, il était possible de consulter les interfaces d'administrations des adhérents des deux partis. Ce qui donnait l'occasion d'un long article marrant dans le Canard Enchaîné. Bien sûr l'histoire est drôle.

C'est avec un certain amusement que j'ai lu les tweets et l'article de Bluetouff ce week end à propos du DDoS du site du PS. Lors des dernières élections présidentielles, les sites du PS et de l'UMP étaient totalement troués. Avec un simple navigateur et sans aucun piratage, il était possible de consulter les interfaces d'administrations des adhérents des deux partis. Ce qui donnait l'occasion d'un long article marrant dans le Canard Enchaîné. Bien sûr l'histoire est drôle. Mais au delà, c'est la réaction des deux partis qui l'est vraiment. Alors que l'on aurait pu attendre du parti de l'énervé de l'Elysée une réaction furibarde et, pourquoi pas, un dépôt de plainte (on ne sait jamais, il y a toujours des imbéciles), c'est le PS qui s'est montré le plus énervé et comme il y a prescription, je vais vous raconter les dessous de cette histoire, inconnue jusqu'ici du grand public.

Le Canard publie donc un article sur ce défaut de sécurisation, qui fait apparaitre des différences notoires entre le nombre d'adhérents affichés par les services de communication des deux partis et ceux qui s'affichent dans les back offices des sites. Alors que l'UMP fait profil bas et laisse passer l'orage, le PS souhaite discuter de la chose. Nous voilà donc, votre serviteur et l'un des piliers du Canard, dans l'entrée du parti, rue de Solférino, à attendre notre rendez-vous. Passe un François Hollande qui nous adresse poliment un bonjour et un grand sourire. A peine assis, nous essuyons une volée de bois vert de la part du "représentant" du PS. Et c'est là que c'est intriguant car ledit représentant n'est pas un représentant du PS. C'est le prestataire informatique du PS. Il mènera toute la discussion. Comme s'il était chez lui. Jusqu'au moment où il évoque un dépôt de plainte. Une mauvaise idée. D'une part le Canard a l'habitude et s'amuse généralement de ce genre de choses. D'autre part, à la veille des élections, se mettre ce journal à dos n'est pas très futé. C'est la seule fois où les vrais représentants du PS entreront dans la discussion pour calmer le jeu.

Très sûr de lui, un peu comme un responsable d'Atos (private joke), le prestataire du PS trouve qu'il a été parfait et que nous sommes de méchants pirates chinois des Internets.

Ce n'est pas mon analyse, ni celle du pentesteur qui m'a secondé dans cette enquête pour valider mes trouvailles.

Voici donc, pour mémoire, l'histoire du PS et de l'UMP, unis dans la trouitude de leurs serveurs Web et plus (en ce qui concerne le PS). Notez que cet article a été écrit avant les élections présidentielles de 2007 (en décembre pour être précis).

 

Adhérez qu'ils disaient. Par Internet, c'est si simple... Et ils ont adhéré. Si bien d'ailleurs que le PS a revendiqué 68 000 nouveaux adhérents via Internet depuis mars 2006 sur un total de 218.000 tandis que l'UMP annonce 293 380 adhérents contre 110.000 il y a un an. Petit détail visiblement imprévu, les sites Internet du Parti socialiste et de l'UMP étaient assez poreux pour que n'importe quel internaute un peu curieux puisse aller consulter, armé de son simple navigateur, les interface de gestion des adhérents. Et les chiffres « officiels » ne correspondent pas à ceux qui se trouvent dans ces interfaces. Un problème informatique sans doute. Les sites des autres partis politiques ne semblent pas forcément en meilleure forme. Etat des lieux...

 

Au PS, Rosa, Rosa, Rosam..., Plantum !

A l'été 2005, le parti achevait le déploiement de « Rosam », son système de gestion des adhérents. Il s'agissait, indiquait à l'époque le PS, de « la colonne vertébrale du futur système d'information du Parti socialiste ». Un communiqué à propos de Rosam annonçait à cette période 150.000 adhérents. Ces derniers jours, un visiteur du site du PS qui se serait intéressé à une adhésion en ligne pouvait consulter sur adherer.net, un fichier Excel particulièrement intéressant. Il apparaît à sa lecture que le PS comptait au 31 décembre 2005 seulement quelque 133.831 adhérents dans son système Rosam. Le 17 novembre, au lendemain de la désignation de Ségolène Royal, ce sont quelques 522 demandes d'adhésions qui sont parvenues via Internet contre une soixantaine au début du même mois.

 

S'il était un peu curieux, notre internaute pouvait également trouver sur adherer.net, le mot de passe et l'identifiant de la base de donnée globale. A priori non accessible depuis le réseau Internet, cette base n'est cependant pas, théoriquement, hors d'atteinte pour un pirate informatique.

Pour savoir qui fait quoi rue de Solférino, rien de plus simple : il suffit de consulter l'annuaire interne qui se trouvait malencontreusement sur Internet. Du directeur de cabinet au gardien en passant par la direction financière ou la technicienne informatique, tout le monde est là...

Enfin, toutes les pages du site du Parti socialiste étaient modifiable à loisir avec un navigateur, rien n'étant protégé.

 

 

A l'UMP, ce n'est pas le bateau Cyber-France, c'est le Titanic

Chez Nicolas Sarkozy, le site Internet est particulièrement troué. Encore une fois, il ne s'agit pas de failles demandant des connaissances informatiques, il suffit d'un bon navigateur.  En septembre 2005, les internautes tapant « /admin » après l'adresse classique du site, pouvaient tout modifier. La Une du site comme les données personnelles des adhérents. Prévenus, les responsables du site ont « corrigé » la faille (pas de protection par identifiant/mot de passe de l'interface d'administration). Mais pas complètement puisque la gestion des adhérents était toujours aussi accessible la semaine dernière, l'administration étant simplement déplacée dans un autre lieu du site et toujours pas protégée (/site/admin/).  Sur le Titanic UMP, l'internaute curieux apprend qu'en décembre 2006, l'interface d'administration annonce au total quelque 125.953 inscrits seulement.

 

Le côté ennuyeux de l'accès à ces pages sans protection aucune, c'est que n'importe quel farceur pouvait, semble-t-il, modifier les fiches des adhérents, leur nom, leur téléphone ou leur adresse. Ne parlons même pas d'hypothétiques marketeux mal intentionnés qui pouvaient se servir abondamment pour constituer des fichiers à peu de frais... En outre, le chiffre de 125.953 adhérents est visiblement fantaisiste. De fait, il existe plus d'une vingtaine de Sarkozy Nicolas à la lettre S dans la liste des adhérents...

 

UDF: forum piraté

Problèmes à gauche, problèmes à droite... Balle au centre? Chez François Bayrou, c'est le forum qui a été piraté. Et l'on ne s'en cache pas puisque ce sont les participants du forum qui le racontent tout en demandant à l'administrateur de remettre en ligne telle ou telle contribution intéressante passée à la trappe avec la visite des pirates.

 

PC: la base à la peine...

Toujours armé de son navigateur, l'internaute curieux pourra retrouver via Google, ou sur le site du parti communiste, les identifiants et mots de passe permettant de  connecter à quelques bases de données.

 

FN, les mails des sympathisants dans la cyber-nature

Le Front National a un lourd passif en matière de protection des données personnelles de ses sympathisants. Au lendemain du premier tour des élections présidentielles d'avril 2002, un site du FN proposait aux internautes qui y débarquaient, de télécharger les mails envoyés au grand chef. Une prose pour le moins raciste et xenophobe, mais surtout la plupart du temps, les noms, adresses et numéros de téléphones de ces supporters qui souhaitaient être contactés par le Front National. Aujourd'hui il est possible de changer, par exemple, des images du site, d'installer une page,  toujours avec un simple navigateur...

Conclusion: il y a encore pas mal de boulot pour la CNIL si elle ne fait pas faillite, comme le laissait craindre ouvertement son président Alex Türk il y a quelques jours. Il comparait la situation de son institution à celle d'une entreprise en « cessation de paiement ». La loi Informatique et Libertés du 6 janvier 1978 prévoit une obligation de veiller à la sécurité et à la confidentialité des données nominatives traitées. Le risque pour une entreprise, ou un parti politique..., qui ne respecterait pas ces disposition est tout de même une amende pouvant aller jusqu'à 300.000 euros et une peine de prison allant jusqu'à 5 ans.

Dans sa « délibération n°2006-228 du 5 octobre 2006 portant recommandation relative à la mise en œuvre par  les partis ou groupements à caractère politique, élus ou candidats à des fonctions électives de fichiers dans le cadre de leurs activités politiques », la CNIL était très claire. « La Commission recommande que l’accès aux fichiers, et la communication éventuelle des listes des adhérents, soient réservés aux seuls responsables du parti. [...] Les accès individuels aux traitements devraient être garantis, par exemple, par l’attribution d’un identifiant et d’un mot de passe individuels, régulièrement renouvelés, ou par tout autre moyen d’authentification ».

Il y a encore du boulot parce que pour l'instant, les principaux partis politiques s'assoient dessus et montrent ainsi l'exemple aux autres...

Et que se passa-t-il ?

Rien. Croyez-vous qu'un procureur se soit saisi de cette affaire ? Non. Que la CNIL ait réagi ? Non. Mieux,j'ai interrogé Alex Türk dans un chat du Monde.fr sur ce sujet. Il a feint de ne rien savoir. Il ne lit probablement pas le Canard Enchaîné.

J'ai même interrogé officiellement la CNIL.

Résultat ? Pas vraiment de résultat. J'ai donc mis en place un compteur : le KiteCompteur de la CNIL. Il aura fallu 22 jours pour obtenir une non réponse de la CNIL et sa non intervention dans cette affaire comme dans tant d'autres.

Après publication de l'article du Canard, les choses ne se sont pas arrangées (aussi vite que l'on aurait pu l'espérer). Voici la suite de l'histoire :

Le prestataire informatique du PS a visiblement du mal à appliquer ses rustines. Le Canard avait pris la peine d'alerter le parti socialiste sur l'aspect gruyère de Rosam, son système informatique de gestion des adhérents.

Le lendemain, l'accès en question était bloqué et le visiteur était reconduit de force sur la page d'adhésion en ligne. Las, porte fermée ne signifie pas fenêtre verrouillée. De fait, l'ensemble de l'espace de travail de l'équipe informatique travaillant sur le projet Rosam chez le prestataire restait quant à lui totalement accessible jeudi dernier. Et là, outre de nombreux fichiers contenant noms, adresses, cotisations d'adhérents, le visiteur pouvait trouver, toujours sans aucune protection, les factures adressées au PS, l'appel d'offres et bien entendu, la réponse chiffrée du prestataire, ainsi que le manuel de l'utilisateur de Rosam. Détaillant par exemple la structure de la base de données de Rosam.

 

 

La mise en place de Rosam a visiblement coûté quelque 137.000 euros au parti. Ce qui n'est pas très cher vu le travail à accomplir, selon ce qui était demandé dans le cahier des charges du PS. Peut-être manquait-il toutefois une petite rallonge pour assurer un niveau acceptable de confidentialité des données des adhérents?

Tant dans ses comptes rendus de réunions que dans sa proposition, le prestataire du PS souligne pourtant l'importance de l'aspect sécurité. Et précise même: « Cette sécurisation est adaptée au contexte et à la cible de sécurité. Ces procédures ont notamment été appliquées pour la distribution de la Direction Générale des Impôts et pour le socle technique de notre solution ». Cela laisse rêveur vu le manque d'empressement à fermer les accès aux plates-formes de développement de Rosam. Espérons que les portes sont mieux gardées à la DGI...

Rappelons, pour faire bonne mesure, que le montant des cotisations, noms et adresses de 125 953 adhérents de l'UMP étaient consultables sur Internet jusqu'il y a un peu plus d'une semaine...

Nicolas Sarkozy pour son premier face à face avec sa concurrente aurait pu lui lancer : « Vous n'avez pas le monopole des données à poil sur Internet Mme Royal ! »

Allez, trêve de plaisanteries, il est certain que depuis cette époque mythique, les serveurs des partis politiques ont été reconstruits et cette fois, en béton armé.

 

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée