Actualité

Un espace ORANGE piraté

Publié le 29-08-2011 à 00:21:44 dans le thème Réseau - Sécurité

Pays : France - Auteur : Damien Bancal

Pub : Tous les logiciels antiphishing gratuits disponibles sur Internet

Note des lecteurs: 3.2/5

INFO ZATAZ - Un hacker est passé par l´un des serveurs du Fournisseur d´accès à Internet Orange. Il se fait appeler sur la toile HiddenTapz. Cet internaute, qui a contacté ZATAZ.COM jeudi dernier, nous a informé du piratage de la boutique Internet d'Orange.fr, la filiale de France Télécom. Dans les informations qu'il a semble-t-il récupéré, la base de données de cet espace commercial. Selon les tables affichées par le document communiqué à la rédaction de ZATAZ.COM : AFFILIATION, BDS, CLIENT, Commande, ... (Les Anonymous ont diffusé un extrait de ce document, ce dimanche. HiddenTapz ne nous a jamais précisé être membre des Anonymous, NDLR).

Autant dire que les intitulés des tables extraites de la base de données, via une injection SQL, de la boutique d'Orange ont de quoi inquiéter. Les mots "clients" et "commande" sont suffisamment explicite pour en comprendre le contenu. A noter que l'internaute, pour conclure ses preuves, nous a fourni le login et le mot de passe, déchiffrés, du Root (le maître des clés, NDLR) de cet espace numérique, ainsi que d'un mystérieux compte baptisé FT User.

Cette extraction de la base de données a été effectuée à partir d'un logiciel de piratage, très connu, créé par des hackers Iraniens. D'après les informations envoyées par HiddenTapz à la rédaction de ZATAZ.COM, la faille a été découverte en avril dernier "Peut-être que les informations privées d'Orange resteront secrètes, explique-t-il à ZATAZ.COM, Cela dépendra de la réponse d'Orange à ma future demande." Une demande qui ne nous a pas été précisée.

Du côté de chez ORANGE, les équipes en charge de la sécurité informatique ont mis en panne la boutique dés vendredi après-midi. Quid de la motivation d'HiddenTapz ? Ce dernier explique à ZATAZ.COM que "Jusqu'à ces derniers temps je n'avais jamais vraiment a été intéressé par l'Europe et l'Ouest, l'OTAN était la Bête noire pour moi. Plus j'en étais éloigné, mieux je me portais. Alors après les révolutions dans des pays arabes, utilisant Internet comme le principal médias, répercutés par les pays de l'Europe, dont la France, j'ai décidé de m'intéresser à votre pays. J'ai découvert les problèmes des Français. Je respecte le peuple, je parle avec des Français, je découvre leurs avis. Les ressemblances avec mon pays sont fortes. Nous sommes dans la même mentalité de réponse, le "œil pour œil - dent pour dent. J'ai pris une décision, me mettre du côté du peuple. Un peuple de plus en plus opprimé, comme le mien. J'ai aidé des Allemands, des Espagnols, des Russes, maintenant je vais aider les français face à leur gouvernement." HiddenTapz nous a confié avoir mis 10 secondes pour trouver la faille chez Orange. A noter que le pirate nous a apporté les preuves du piratage du serveur de l'AFAI, l'Association Française de l’Audit et du Conseil Informatiques.

Plusieurs interrogations viennent cependant s'entrechoquer dans les têtes de la rédaction de ZATAZ.COM. L'hacktiviste écrit dans un anglais très "professionnel", très "Wall Street English". Son action intervient alors que les opérateurs réfléchiraient à "stopper" l'Internet illimité sur le territoire hexagonale. Pour rappel, la faille a été découverte en avril 2011. Dernier point très intriguant, le hacker a utilisé la version professionnelle, donc commerciale, du logiciel de piratage iranien. Un outil informatique qui existe pourtant dans de nombreuses versions gratuites. Bref, payer 350 dollars pour se lancer dans l'hacktivisme, voilà qui peut paraitre étonnant.

Les nouvelles armes des pirates informatiques à l'assaut des secrets des entreprises

Des pirates informatiques iraniens ont inventé un logiciel qui ne laisse aucune chance aux serveurs Internet. En quelques clics de souris, les données privées et sensibles sauvegardées sur les serveurs d'entreprises Françaises et étrangères sont accessibles aux flibustiers du web. (Cette enquête a été publiée dans le magazine Capital - Août 2010)

Tout débute à la fin du mois de mai 2010. Un hackeur français contacte la rédaction de ZATAZ.COM pour nous expliquer que certaines données de plusieurs serveurs Internet Français pouvaient être lues et copiées très simplement. « Il me suffit de quelques clics de souris pour accéder à l'ensemble des adresses électroniques d'une rédaction » soulignait-il alors. Et effectivement, en quelques secondes, une base de données s'ouvraient à nos regards étonnés. Un tour de passe-passe digne d'un David Copperfield de l'informatique. Inquiétant ! Si notre hackeur s'est donné pour mission d'aider, nous allons découvrir que le business des bases de données sur Internet est devenu un gagne pain fructueux pour des centaines de pirates informatiques. Des e.voleurs équipés de logiciels étonnants. De véritables passe-partout électroniques à l'image du logiciel H'j3v (Le nom a été modifié, NDLR), un programme créé par des bidouilleurs iraniens.

H'j3v ne paie pas de mine. Quelques boutons en anglais; deux/trois onglets; aucun mode d'emploi. Pourtant, derrière ces quelques bits, une arme redoutable qui devrait permettre aux responsables informatiques de réfléchir à deux fois sur la sécurité de leurs serveurs. Dans le cas de cet « outil », il en existerait plusieurs dizaines du même type sur la toile, il suffit de rentrer une adresse Internet trouvée via le moteur de recherche Google. « Le plus terrible, souligne François (ZATAZ.COM a modifié son prénom), un pirate informatique, Il suffit de quelques mots clés dans Google pour établir le lien qui ouvrira les portes du site que je cible ». Bilan de cette opération banale, le logiciel informatique se charge de trouver le point d'entrée à la base de données de n'importe quel site Internet. Opération que ce software effectue en moins de trois secondes. Vous avez bien lu, n'importe quel site Internet, faillible, équipé d'une base de données est en danger. Lors de notre rencontre avec François, aux hasards de nos questions, l'intrus a été capable de nous présenter des serveurs faillibles appartenant à Orange, Paris-Match, M6, mais aussi des sites gouvernementaux, des boutiques, des hôtels, ... « J'aurai pu effectuer une razzia sur leurs informations, en quelques minutes » s'amusait alors notre interlocuteur. Dans sa démonstration particulièrement inquiétante, des données bancaires se sont affichées dans certains cas ; des identifiants de connexion ; les messages internes. Bref, l'ensemble des petits et grands secrets inscrits et sauvegardés dans la moindre base de données. A noter que François nous a fourni les liens et les accès fautifs afin que les sites découverts lors de notre entretien soient alertés et corrigés. Du remord le jeune homme ? Peut-être ! En attendant, lors de sa démonstration de mai 2010, nous avons pu voir défiler devant nos yeux écarquillés des dizaines de mots de passe, non chiffrés, appartenant à des clients de l'espace PME d'Orange (netpme.professionnels.orange.fr) ; des données bancaires sauvegardées dans des bases de données de boutiques en ligne.

Vicieux, l'outil décortique une par une les tables d'enregistrements sauvegardées dans les bases de données. En quelques secondes, selon les configurations des sites et serveurs web, la vitesse de connexion, les identités, les adresses physiques, les courriels, les adresses ip, les messages laissés par les employés et les visiteurs des sites concernés apparaissent. Dans le pire des cas, les commandes et les données bancaires sont consultables à souhait. A noter que la version "PRO" de ce couteau Suisse Iranien est commercialisé 350 $. C'est du moins le prix qui a été proposé à ZATAZ.COM, par les auteurs. « Aujourd'hui, souligne François, une base de données peut se revendre très chère. Si je mets la main sur des adresses électroniques, je les revends à des spammeurs. Si j'accède à des données bancaires. Il existe sur la toile des espaces privés où il est possible de revendre, échanger, acheter ce type de prestations. Il m'est arrivé de toucher plus de 4,000 euros par mois en revendant mes découvertes.»

Les tarifs varient selon les « produits ». ZATAZ.COM a pu constater sur deux forums basés en Russie que les informations d'une carte bancaire (Les 16 chiffres, la date de validité et le CVV, le cryptogramme inscrit à l'arrière de la CB) pouvait se revendre entre cinq et 30 euros pièce. « Le problème, souligne le pirate informatique, est qu'il y a de plus en plus de monde pour la revente de données piratées. Cela fait baisser les prix. » Comme le souligne Jérôme Granger, responsable de la communication de l'éditeur de solutions de sécurité informatique Gdata « Cette économie souterraine qui prend de l'ampleur. Le développement de l’économie souterraine au cours des dernières années s’illustre par le biais d’un exemple : Là où les pirates informatiques se vantaient autrefois d’arriver à obtenir via des données volées un accès gratuit à d’innombrables offres de pornographie sur Internet, ils se targuent aujourd’hui du nombre de cartes de crédit qu’ils ont déjà réussi à dérober. Fait remarquable : ces données se transforment à présent en espèces sonnantes et trébuchantes. Une tendance qui a fait naître une économie souterraine. Aujourd’hui, tout ce qui existe déjà dans un vrai environnement économique légal : fabricants, commerçants, prestataires de services et clients se trouve dans l’économie des cyberdélinquants. »

Le « black market » informatique a encore de beaux jours devant lui, d'autant plus que les données nominatives, sensibles et privées tirées des bases de données sont légions sur Internet. Si la rétention de données financières est prise très au sérieux par la majorité des entreprises ayant pignon sur web, il nous a été permis de constater que les cartes bancaires pouvaient se collecter très simplement. Comme ZATAZ.COM le précisait dans son rapport 2010 dédié aux alertes de sécurité, les iSQL allaient devenir les plaies du web en 2011. No comment !

Derniers contenus

L'espace d'authentification de Numéricâble dangereux

23-05-2013 à 14:53 - 0 commentaire(s)

Client de Numéricâble, prudence. L'espace d'authentification peut être piégé par un pirate informatique.

Fuite de données : la justice accuse les admins

23-05-2013 à 14:26 - 0 commentaire(s)

Si un administrateur d'un système informatique ne protège pas ses données, le "découvreur" ne risque plus d'être poursuivi pour piratage.

Skimmeur dans le Tarn

23-05-2013 à 12:30 - 0 commentaire(s)

Plusieurs dizaines de comptes bancaires piratés dans le Tarn. Un skimmeur a encore frappé.

Double authentification Twitter... ou pas

23-05-2013 à 09:39 - 0 commentaire(s)

Twitter annonce une sécurité renforcée via une double authentification. Et les autres failles ?

Danger via MySpace et DailyMotion

21-05-2013 à 09:47 - 0 commentaire(s)

Potentialités malveillantes à partir des sites communautaires MySpace et DailyMotion.

Un espace web Nestlé dangereux

21-05-2013 à 09:37 - 0 commentaire(s)

Un espace Nestlé, dédié aux bébés, propose des potentialités malveillantes aux pirates

Le site de George W. Bush dangereux

21-05-2013 à 08:28 - 0 commentaire(s)

Une faille sur le site Internet de l'ancien président américain, George W. Bush, permet de piéger les internautes.

Cyber attaque à coups de PDF malveillants

21-05-2013 à 08:19 - 0 commentaire(s)

Une cyber-attaque principalement orientée vers le Pakistan à travers de faux documents PDF attachés.

Vos réactions ( 0 )

Réagissez à ce contenu

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.

La reference des emissions TV dediees a la cybersecurite

Data Security Breach - Securite pour entreprise, pme, pmi

Syndication RSS

ZATAZ mobile et PDA

PDA
Imode

A PROPOS CONTACT ZATAZWeb.tv
www.antivirus-enligne.com www.antispyware-gratuits.com www.firewall-gratuit.com
datasecuritybreach.fr www.antispam-gratuits.com www.antiphishing-gratuit.com www.virus-alerte.com

Tout usage des informations diffusées par ZATAZ.COM est soumi à autorisation préalable et express. La violation de ces dispositions impératives soumet le contrevenant,
et toutes personnes responsables, aux peines pénales et civiles prévues par la loi française.

Copyright ZATAZ 1997 - 2013