Publié le 07-11-2006 à 00:00:00 dans le thème Réseau - Sécurité

Pays : France - Auteur : Damien Bancal

Pub : Découvrez les Labs ZATAZ

.

Exclu - L'ensemble des SMS envoyés par les auditeurs de NRJ ouverts aux quatre vents du web.

Il y a quelques années, nous révélions une faille idiote qui avait ouvert à la vue des pirates la page dédiée aux animateurs de Skyrock. Cette page, connectée sur Internet, offrait la possibilité de lire les messages envoyés par les auditeurs.

Aujourd'hui, le problème a visé la première radio FM d'Europe, NRJ. Un problème de taille mis à jour par un jeune internaute francophone qui se fait appeler sur le web Bozerty. "Je ne veux pas nuire, va nous expliquer ce jeune bidouilleur, Je souhaite juste montrer le danger et aider à le corriger"

Social Engineering et phishing
Comment ce jeune internaute a-t-il eu accès à cette page privée ? Tout simplement en téléphonant à la station en se faisant passer pour un technicien de maintenance. Il va joindre un animateur qui, sans se douter du piège, va fournir l'adresse Internet de la page "Réception SMS" destinée aux animateurs de NRJ. Heureusement, cette page était protégée par accès, via un identifiant et un mot de passe. Le pirate va nous expliquer qu'il a mis en place une fausse page "Réception SMS" qu'il a proposé à l'animateur en question, toujours par téléphone, afin d'intercepter son accès. Une méthode utilisée, d'habitude, contre les clients de banque, par les phishers. La méthode de social engineering du jeune "fouineur" a parfaitement fait son office auprès de l'employé de NRJ. "J'ai ainsi pu intercepter son login et son mot de passe" confiait le jeune curieux.



Audit sauvage
Dès l'information en main, nous avons alerté NRJ de ce problème, via une de nos connaissances interne. Lors de notre appel téléphonique, nous avons participé à un essai avec notre interlocuteur. Nous avons découvert que l'un des mots de passe de cette radio FM était des plus idiot. Pour accéder à l'ensemble des SMS envoyés par les auditeurs (Plus de 600 000), il suffisait de rentrer le nom de la radio en identifiant et en password pour s'ouvrir les messages SMS des fideles de cette radio FM avec leurs informations privées (identité, numéro de téléphone, ...).

Si Bozerty a voulu aider, sa méthode reste particulièrement discutable et répréhensible par la justice Française. Usurper une identité et/ou une fonction dans l'intention de dérober des informations est illégale. De son côté, le service informatique de NRJ que nous avons pu joindre par téléphone, l'a promis. Les mots de passe idiots n'auront plus droit de parole dans les serveurs de la station. Amen !

Tweet

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Faille sur le site Wikileaks

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

La Ville de Chambéry corrige une fuite de données

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Prudence aux liens vers Darty et ELLE

Des vulnérabilités ont été découvertes sur les sites RueDuCommerce, Darty et du journal ELLE. Prudence aux liens exterieurs.

Quand des Anonymous tapent sur des Anonymous, ça mousse

INFO ZATAZ - Des Anonymous reprochent à d´autres Anonymous d'avoir piraté des sites appartenant à la mouvance d'extrême droite. Pour les punir, leurs identités sont diffusées sur la toile.

Les informations confidentielles de 541 policiers Français diffusées par les Anonymous

Les Anonymous diffusent sur Internet l´identités et des informations confidentielles de plusieurs centaines de policiers Français.

Faille pour Myspace

Info ZATAZ - Une vulnérabilité de type Cross-Site Scripting vise le portail communautaire MySpace.

Multiples failles pour le site économique Forbes

INFO ZATAZ - Plusieurs vulnérabilités touchent le site économique américain Forbes. Les lecteurs peuvent être touchés directement.

La ville de Béthune corrige une fuite de données

INFO ZATAZ - Une méga fuite de données permettait d´accéder à une imposante base de données appartenant à la Mairie de Béthune.

Réagissez à ce contenu