Un second site d’Emmanuel Macron en danger face aux pirates Russes… ou pas !

Après le site En-Marche.fr, un second espace web de la constellation communicante 2.0 du candidat aux présidentielles Emmanuel Macron en danger face aux pirates. En bonus, des fuites de données.

Dans la série « faites ce que je dis, pas ce que je fais » nos politiques et leurs équipes sont tellement accaparés à plaire aux médias, et donc par rebond aux lecteurs/téléspectateurs/auditeurs, qu’ils sont totalement à l’EST des vraies préoccupations des gens, de la réalité du web… Dans notre situation, nous avons énormément entendu de choses sur « les pirates russes qui veulent du mal » au candidat Macron. Avec tout le respect que j’ai pour la femme et la professionnelle qu’est Laurence Haïm, ancienne journaliste de iTV/Canal+ en poste aux USA, aujourd’hui communicante en chef du candidat, entendre dire [Sur LCI, ndr] que les pirates Russes sont sur le dos 2.0 de son candidat commence à être particulièrement fatiguant.

Non, les pirates Russes ne sont pas à l’attaque du candidat Macron. Par contre, oui, les pirates de toute la planète sont aux aguets dès qu’il s’agit de taper dans un site Internet médiatique aussi troué qu’un gruyère. Comme ce fût le cas pour En-Marche.fr. Je vous révélais sur Twitter que ce dernier avait été corrigé après un protocole d’alerte de ZATAZ [A noter que le journal reflets.info avait aussi repéré les problèmes, NDR].

.@Protocole_ZATAZ au sujet du site @EmmanuelMacron : ok. La trentaine de failles (WP, plugins, autres…) relevée corrigée. #cybersécurité pic.twitter.com/ClUWrVMTrf

— ZATAZ.COM Officiel (@zataz) February 16, 2017

Aujourd’hui, alors que j’aurai pu penser que les équipes d’Emmanuel Macron avaient pris goût à la sécurité informatique, voici un second site en danger. Un site de la constellation communication 2.0 de de l’homme politique. Cette fois, j’ai découvert que le site Les Jeunes avec Macron, site officiel de la campagne, était tout aussi troué que son grand frère.

Face aux pirates russes… ou pas !

Un WordPress (version 4.6.3 alors que celle du moment est en version 4.7.2) faillible ; sept plugins (youtube-video-player, youtube-embed-plus, jetpack, mailchimp-for-wp, contact-form-7, …) pas à jour. Un accès d’administration en « open bar » avec identification du compte du gestionnaire [pratique pour un pirate qui veut lancer un brute force, NDR), pas de double authentification. Bref, un terrain de jeu pour beaucoup les pirates, professionnels ou non, Russes ou non. Comme l’a aussi repéré « Master » Antoine Champagne de Reflets, le dossier « Upload » du WordPress était accessible. Un simple index.html aurait suffit pour le rendre aveugle aux regards des curieux.

Cerise sur le gâteau, dans ce dossier, des fuites de données, via le plugin Mailchimp mal configuré. Plusieurs fichiers produits par ce logiciel fournissaient des mails d’utilisateurs. Des données qu’un grand pirate du numérique, Google [un américain, NDR] a pris le temps de ponctionner. J’avais repéré le problème, comme le montre ma capture écran, le 27 janvier 2017. Les informations sont dans le cache du géant de l’Internet US depuis bien plus longtemps. Quelques lignes dans Apache, pour empêcher l’accès aux fichiers .log aurait évité cela.

<Files ~ « ^.*\.(LOG|log) »>
Order allow,deny
Deny from all
Satisfy All
</Files>

Le responsable de l’univers numérique d’Emmanuel Macron, Mounir Mahjoubi, a promptement répondu au protocole d’alerte de zataz en confirmant que l’informations avait été remontée « aux personnes concernées. […] Une nouvelle version doit arriver rapidement » ! Bref, avec de telles erreurs, face aux pirates, aucun site ne peut résister !

Mise à jour : le site a été corrigé ce 22 février.