Publié le 29-08-2011 à 00:21:44 dans le thème Réseau - Sécurité

Pays : France - Auteur : Damien Bancal

Pub : Tous les logiciels firewall gratuits disponibles sur Internet

INFO ZATAZ - Un hacker est passé par l´un des serveurs du Fournisseur d´accès à Internet Orange. Il se fait appeler sur la toile HiddenTapz. Cet internaute, qui a contacté ZATAZ.COM jeudi dernier, nous a informé du piratage de la boutique Internet d'Orange.fr, la filiale de France Télécom. Dans les informations qu'il a semble-t-il récupéré, la base de données de cet espace commercial. Selon les tables affichées par le document communiqué à la rédaction de ZATAZ.COM : AFFILIATION, BDS, CLIENT, Commande, ... (Les Anonymous ont diffusé un extrait de ce document, ce dimanche. HiddenTapz ne nous a jamais précisé être membre des Anonymous, NDLR).

Autant dire que les intitulés des tables extraites de la base de données, via une injection SQL, de la boutique d'Orange ont de quoi inquiéter. Les mots "clients" et "commande" sont suffisamment explicite pour en comprendre le contenu. A noter que l'internaute, pour conclure ses preuves, nous a fourni le login et le mot de passe, déchiffrés, du Root (le maître des clés, NDLR) de cet espace numérique, ainsi que d'un mystérieux compte baptisé FT User.

Cette extraction de la base de données a été effectuée à partir d'un logiciel de piratage, très connu, créé par des hackers Iraniens. D'après les informations envoyées par HiddenTapz à la rédaction de ZATAZ.COM, la faille a été découverte en avril dernier "Peut-être que les informations privées d'Orange resteront secrètes, explique-t-il à ZATAZ.COM, Cela dépendra de la réponse d'Orange à ma future demande." Une demande qui ne nous a pas été précisée.

Du côté de chez ORANGE, les équipes en charge de la sécurité informatique ont mis en panne la boutique dés vendredi après-midi. Quid de la motivation d'HiddenTapz ? Ce dernier explique à ZATAZ.COM que "Jusqu'à ces derniers temps je n'avais jamais vraiment a été intéressé par l'Europe et l'Ouest, l'OTAN était la Bête noire pour moi. Plus j'en étais éloigné, mieux je me portais. Alors après les révolutions dans des pays arabes, utilisant Internet comme le principal médias, répercutés par les pays de l'Europe, dont la France, j'ai décidé de m'intéresser à votre pays. J'ai découvert les problèmes des Français. Je respecte le peuple, je parle avec des Français, je découvre leurs avis. Les ressemblances avec mon pays sont fortes. Nous sommes dans la même mentalité de réponse, le "œil pour œil - dent pour dent. J'ai pris une décision, me mettre du côté du peuple. Un peuple de plus en plus opprimé, comme le mien. J'ai aidé des Allemands, des Espagnols, des Russes, maintenant je vais aider les français face à leur gouvernement." HiddenTapz nous a confié avoir mis 10 secondes pour trouver la faille chez Orange. A noter que le pirate nous a apporté les preuves du piratage du serveur de l'AFAI, l'Association Française de l’Audit et du Conseil Informatiques.

Plusieurs interrogations viennent cependant s'entrechoquer dans les têtes de la rédaction de ZATAZ.COM. L'hacktiviste écrit dans un anglais très "professionnel", très "Wall Street English". Son action intervient alors que les opérateurs réfléchiraient à "stopper" l'Internet illimité sur le territoire hexagonale. Pour rappel, la faille a été découverte en avril 2011. Dernier point très intriguant, le hacker a utilisé la version professionnelle, donc commerciale, du logiciel de piratage iranien. Un outil informatique qui existe pourtant dans de nombreuses versions gratuites. Bref, payer 350 dollars pour se lancer dans l'hacktivisme, voilà qui peut paraitre étonnant. 

Les nouvelles armes des pirates informatiques à l'assaut des secrets des entreprises

Des pirates informatiques iraniens ont inventé un logiciel qui ne laisse aucune chance aux serveurs Internet. En quelques clics de souris, les données privées et sensibles sauvegardées sur les serveurs d'entreprises Françaises et étrangères sont accessibles aux flibustiers du web. (Cette enquête a été publiée dans le magazine Capital - Août 2010)

Tout débute à la fin du mois de mai 2010. Un hackeur français contacte la rédaction de ZATAZ.COM pour nous expliquer que certaines données de plusieurs serveurs Internet Français pouvaient être lues et copiées très simplement. « Il me suffit de quelques clics de souris pour accéder à l'ensemble des adresses électroniques d'une rédaction » soulignait-il alors. Et effectivement, en quelques secondes, une base de données s'ouvraient à nos regards étonnés. Un tour de passe-passe digne d'un David Copperfield de l'informatique. Inquiétant ! Si notre hackeur s'est donné pour mission d'aider, nous allons découvrir que le business des bases de données sur Internet est devenu un gagne pain fructueux pour des centaines de pirates informatiques. Des e.voleurs équipés de logiciels étonnants. De véritables passe-partout électroniques à l'image du logiciel H'j3v (Le nom a été modifié, NDLR), un programme créé par des bidouilleurs iraniens.

H'j3v ne paie pas de mine. Quelques boutons en anglais; deux/trois onglets; aucun mode d'emploi. Pourtant, derrière ces quelques bits, une arme redoutable qui devrait permettre aux responsables informatiques de réfléchir à deux fois sur la sécurité de leurs serveurs. Dans le cas de cet « outil », il en existerait plusieurs dizaines du même type sur la toile, il suffit de rentrer une adresse Internet trouvée via le moteur de recherche Google. « Le plus terrible, souligne François (ZATAZ.COM a modifié son prénom), un pirate informatique, Il suffit de quelques mots clés dans Google pour établir le lien qui ouvrira les portes du site que je cible ». Bilan de cette opération banale, le logiciel informatique se charge de trouver le point d'entrée à la base de données de n'importe quel site Internet. Opération que ce software effectue en moins de trois secondes. Vous avez bien lu, n'importe quel site Internet, faillible, équipé d'une base de données est en danger. Lors de notre rencontre avec François, aux hasards de nos questions, l'intrus a été capable de nous présenter des serveurs faillibles appartenant à Orange, Paris-Match, M6, mais aussi des sites gouvernementaux, des boutiques, des hôtels, ... « J'aurai pu effectuer une razzia sur leurs informations, en quelques minutes » s'amusait alors notre interlocuteur. Dans sa démonstration particulièrement inquiétante, des données bancaires se sont affichées dans certains cas ; des identifiants de connexion ; les messages internes. Bref, l'ensemble des petits et grands secrets inscrits et sauvegardés dans la moindre base de données. A noter que François nous a fourni les liens et les accès fautifs afin que les sites découverts lors de notre entretien soient alertés et corrigés. Du remord le jeune homme ? Peut-être ! En attendant, lors de sa démonstration de mai 2010, nous avons pu voir défiler devant nos yeux écarquillés des dizaines de mots de passe, non chiffrés, appartenant à des clients de l'espace PME d'Orange (netpme.professionnels.orange.fr) ; des données bancaires sauvegardées dans des bases de données de boutiques en ligne.

Vicieux, l'outil décortique une par une les tables d'enregistrements sauvegardées dans les bases de données. En quelques secondes, selon les configurations des sites et serveurs web, la vitesse de connexion, les identités, les adresses physiques, les courriels, les adresses ip, les messages laissés par les employés et les visiteurs des sites concernés apparaissent. Dans le pire des cas, les commandes et les données bancaires sont consultables à souhait. A noter que la version "PRO" de ce couteau Suisse Iranien est commercialisé 350 $. C'est du moins le prix qui a été proposé à ZATAZ.COM, par les auteurs. « Aujourd'hui, souligne François, une base de données peut se revendre très chère. Si je mets la main sur des adresses électroniques, je les revends à des spammeurs. Si j'accède à des données bancaires. Il existe sur la toile des espaces privés où il est possible de revendre, échanger, acheter ce type de prestations. Il m'est arrivé de toucher plus de 4,000 euros par mois en revendant mes découvertes.»

Les tarifs varient selon les « produits ». ZATAZ.COM a pu constater sur deux forums basés en Russie que les informations d'une carte bancaire (Les 16 chiffres, la date de validité et le CVV, le cryptogramme inscrit à l'arrière de la CB) pouvait se revendre entre cinq et 30 euros pièce. « Le problème, souligne le pirate informatique, est qu'il y a de plus en plus de monde pour la revente de données piratées. Cela fait baisser les prix. » Comme le souligne Jérôme Granger, responsable de la communication de l'éditeur de solutions de sécurité informatique Gdata « Cette économie souterraine qui prend de l'ampleur. Le développement de l’économie souterraine au cours des dernières années s’illustre par le biais d’un exemple : Là où les pirates informatiques se vantaient autrefois d’arriver à obtenir via des données volées un accès gratuit à d’innombrables offres de pornographie sur Internet, ils se targuent aujourd’hui du nombre de cartes de crédit qu’ils ont déjà réussi à dérober. Fait remarquable : ces données se transforment à présent en espèces sonnantes et trébuchantes. Une tendance qui a fait naître une économie souterraine. Aujourd’hui, tout ce qui existe déjà dans un vrai environnement économique légal : fabricants, commerçants, prestataires de services et clients se trouve dans l’économie des cyberdélinquants. »

Le « black market » informatique a encore de beaux jours devant lui, d'autant plus que les données nominatives, sensibles et privées tirées des bases de données sont légions sur Internet. Si la rétention de données financières est prise très au sérieux par la majorité des entreprises ayant pignon sur web, il nous a été permis de constater que les cartes bancaires pouvaient se collecter très simplement. Comme ZATAZ.COM le précisait dans son rapport 2010 dédié aux alertes de sécurité, les iSQL allaient devenir les plaies du web en 2011. No comment ! 

Tweet

Un Anonymous Français déclare la guerre aux hébergeurs

25-05-2012 à 13:05 - 1 commentaire(s)

Info zataz - Des dizaines d'hébergeurs sous le contrôle d'un Anonymous Français. Il déclare la guerre aux serveurs privés Dofus.

Votre compte Facebook a-t-il été infiltré ?

24-05-2012 à 12:09 - 0 commentaire(s)

Info zataz - Une vague de faux messages vise des milliers de comptes Français Facebook. Prudence aux photos sexy diffusées.

Fuite de données pour iPhone

22-05-2012 à 00:43 - 0 commentaire(s)

Info zataz - Un iPhone jailbreaké couplé avec Tweak Bulletin permet de passer outre le mot de passe d´ouverture du téléphone.

Téléphone portable ZTE piégé

22-05-2012 à 00:38 - 0 commentaire(s)

Le fabricant chinois de téléphone portable ZTE a confirmé la présence d'une porte dérobée dans l'un de ses smartphones sous Android.

Le Bureau de Justice US piraté

22-05-2012 à 00:31 - 0 commentaire(s)

Info zataz - Des milliers de données sensibles volées par des Anonymous au Bureau of Justice US.

Anonymous contre pédophiles

22-05-2012 à 00:09 - 0 commentaire(s)

Info ZATAZ : Plusieurs dizaines d´informations concernant des pédophiles présumés venant du réseau Darknet diffusées par des Anonymous.

Vulnérabilité sur les site de FHM, ELLE et Forbes

20-05-2012 à 20:38 - 0 commentaire(s)

Info zataz - Des failles découvertes sur les sites des magazines FHM, ELLE et Forbes peuvent mettre en danger les lecteurs internautes.

Anonymous menacent le gouvernement québécois

20-05-2012 à 20:28 - 0 commentaire(s)

Info @zataz - Le gouvernement Québécois veut faire interdire des manifestations étudiantes. Les Anonymous répondent en lançant des attaques informatiques.

Votre compte Facebook a-t-il été infiltré ?

Info zataz - Une vague de faux messages vise des milliers de comptes Français Facebook. Prudence aux photos sexy diffusées.

Vulnérabilité sur les site de FHM, ELLE et Forbes

Info zataz - Des failles découvertes sur les sites des magazines FHM, ELLE et Forbes peuvent mettre en danger les lecteurs internautes.

Fuite pour l'Université du Massachussets

Info zataz - 3.000 identités d´étudiants, dont des Français, étaient disponibles à partir de l'Université du Massachussets.

Utiliser WhatsApp en WiFi rend les conversations publiques

L’application de messagerie instantanée multiplateforme WhatsApp ne chiffrait pas les données envoyées.

Faille pour le site de Harvard

Info zataz - La prestigieuse école Harvard trouée. Un white hat découvre comment accèder à l'une de ses bases de données.

Rencontres professionnelles de la sécurité informatique

Challenges, conférences, ateliers et démonstrations au programme du salon de la sécurité informatique, les 2 et 3 juin, au Maubeuge

Mise à jour de sécurité pour QuickTime

Apple a publié 17 alertes de sécurité vusant QuickTime Media Player.

Orion Browser Dumper v1.0

Orion Browser Dumper v1.0, un outil qui permet de regarder dans les petits secrets de nos navigateurs Internet.

Réagissez à ce contenu