Publié le 07-11-2006 à 00:00:00 dans le thème Réseau - Sécurité

Pays : France - Auteur : Damien Bancal

Pub : Jouez à Seafight sur Bigpoint.fr et devenez le roi de l´océan!

.

Exclu - L'ensemble des SMS envoyés par les auditeurs de NRJ ouverts aux quatre vents du web.

Il y a quelques années, nous révélions une faille idiote qui avait ouvert à la vue des pirates la page dédiée aux animateurs de Skyrock. Cette page, connectée sur Internet, offrait la possibilité de lire les messages envoyés par les auditeurs.

Aujourd'hui, le problème a visé la première radio FM d'Europe, NRJ. Un problème de taille mis à jour par un jeune internaute francophone qui se fait appeler sur le web Bozerty. "Je ne veux pas nuire, va nous expliquer ce jeune bidouilleur, Je souhaite juste montrer le danger et aider à le corriger"

Social Engineering et phishing
Comment ce jeune internaute a-t-il eu accès à cette page privée ? Tout simplement en téléphonant à la station en se faisant passer pour un technicien de maintenance. Il va joindre un animateur qui, sans se douter du piège, va fournir l'adresse Internet de la page "Réception SMS" destinée aux animateurs de NRJ. Heureusement, cette page était protégée par accès, via un identifiant et un mot de passe. Le pirate va nous expliquer qu'il a mis en place une fausse page "Réception SMS" qu'il a proposé à l'animateur en question, toujours par téléphone, afin d'intercepter son accès. Une méthode utilisée, d'habitude, contre les clients de banque, par les phishers. La méthode de social engineering du jeune "fouineur" a parfaitement fait son office auprès de l'employé de NRJ. "J'ai ainsi pu intercepter son login et son mot de passe" confiait le jeune curieux.



Audit sauvage
Dès l'information en main, nous avons alerté NRJ de ce problème, via une de nos connaissances interne. Lors de notre appel téléphonique, nous avons participé à un essai avec notre interlocuteur. Nous avons découvert que l'un des mots de passe de cette radio FM était des plus idiot. Pour accéder à l'ensemble des SMS envoyés par les auditeurs (Plus de 600 000), il suffisait de rentrer le nom de la radio en identifiant et en password pour s'ouvrir les messages SMS des fideles de cette radio FM avec leurs informations privées (identité, numéro de téléphone, ...).

Si Bozerty a voulu aider, sa méthode reste particulièrement discutable et répréhensible par la justice Française. Usurper une identité et/ou une fonction dans l'intention de dérober des informations est illégale. De son côté, le service informatique de NRJ que nous avons pu joindre par téléphone, l'a promis. Les mots de passe idiots n'auront plus droit de parole dans les serveurs de la station. Amen !

Le Comité d´Entreprise de GoodYear Amiens fait dans le phishing !

Exclu : Une page dédié à la banque Halifax cachée à l´insu du plein grès du Comité d'Entreprise du fabricant de pneu GoodYear, à Amiens.

DailyMotion HS: Fait trop chaud

Une panne de courant plonge plusieurs centaines de sites Internet Français dans le noir dont Dailymotion, le portail vidéo.

Interpol, nouveau membre du FIRST

La police internationale intègre le cercle du Forum of Incident Response and Security Teams, FIRST.

Fête nationale à la sauce guerre électronique

Un internaute souhaitait lancer une attaque informatique lors de la fête nationale américaine du 4 juillet. Il passera son Independance Day entre quatre murs.

Nouvelles arrestations chez wawa mania

Mercredi matin, les forces de l´ordre française auraient sonné chez de nouveaux administrateurs et uploaders du site Wawa Mania.

Sécurité et mobilité

Périphériques de stockage amovibles : une menace réelle pour la sécurité des informations en entreprises. Une tribune d´Alexei Lesnykh, Responsable du Développement International et de la Stratégie Produit de DeviceLock.

Interoute Internet Barometer

Un widget vous permet de suive en temps réel les attaques informatiques en cours.

Usenet coupable de violation de la propriété intellectuelle

Les ayants droits américains font condamner Usenet. La justice estime que Usenet est directement coupable de violation de la propriété intellectuelle.

Interpol, nouveau membre du FIRST

La police internationale intègre le cercle du Forum of Incident Response and Security Teams, FIRST.

Sécurité et mobilité

Périphériques de stockage amovibles : une menace réelle pour la sécurité des informations en entreprises. Une tribune d´Alexei Lesnykh, Responsable du Développement International et de la Stratégie Produit de DeviceLock.

Interoute Internet Barometer

Un widget vous permet de suive en temps réel les attaques informatiques en cours.

Codes d´accès de jury du bac en accès libre sur la toile

Exclusif : BACCALAUREAT GENERAL session 2009. Plusieurs dizaines d'identifiants de connexion au système de gestion des résultats du bac en accès libre sur Internet.

Problème de confidentialité corrigé sur le site Amaguiz.com

Exclusif : Le site de l´assureur low cost Amaguiz laissait en accès libre plusieurs miliers de dossiers clients. L´espace a été corrigé suite à notre alerte.

Un piège électronique sur le site Presseregional.fr

Exclusif : Étrange fichier découvert sur le site Internet Presseregional.fr, le portail web du Syndicat de la presse quotidienne régionale.

Facebook corrige une faille liée à la vie privée de ses abonnés

Une faille permettait de rentrer dans la vie privée des abonnés de Facebook. Le site vient de corriger 3 semaines après l´alerte.

Des abonnés de Free et Neuf télécom s'échangeraient leurs connexions

Marché noir autour des identifiants appartenant à des clients Freewifi et Neuf télécom Wifi.

Réagissez à ce contenu