Reportage

 

Histoires de failles

Publié le 27-08-2005 dans le thème HaideD

Pays : France - Auteur : Damien Bancal


Pub : Tous les antivirus en ligne pour désinfecter votre ordinateur

Note des lecteurs: 1.9/5

Histoire de faille
Nous découvrons et recevons, en moyenne par jour, une faille ou un accès vers un serveur web. La première chose que nous effectuons, avertir la direction du serveur faillible. Voici une histoire que nous aurions pu garder pour nous, mais nous préférons vous la relater car des cas comme celui que nous allons vous présenter arrive encore trop souvent et les sociétés que nous avons aidé aurait pu se faire piller par des pirates sans aucune autre forme de procés.
(Article diffusé en 2002)

A l'abordage
La société Beneteau, n°1 mondial dans son secteur possède un site "vitrine" avec une partie boutique en ligne. Il se trouve qu'en cliquant sur le logo en haut à gauche, depuis l'une des pages de la boutique en ligne, on arrivait sur une page administrateur avec un accès login et mot de passe.

Cette page affichait fièrement un message de type "Vous arrivez ici par hasard, cliquez là". Première chose, il est aberrant de mettre un lien sur le site en direction de la section administration du site, surtout que nous avons trouvé cette page en tapant le mot "Hasard" via le moteur de recherche Google. Il se trouve que, par hasard justement et un peu par curiosité, nous tapons "admin" en login (NDR : original non ?) et "admin" en mot de passe et devinez quoi ? Cela a fonctionné. Le plus terrible est que les mots de passe ne servaient à rien. Les pages, censées être protégées par le mot de passe, étaient accessibles via des liens référencés par les principaux moteurs de recherche.

 


Exemples d'administrations accessibles... trop facilement. Heureusement, depuis, elles sont corrigées.


Poussant la curiosité plus loin, nous avons été faire un tour sur le site de la société X, prestataire pour la société Beneteau. L'adresse pour les pages d'administration n'était pas située sous le nom de domaine de Beneteau mais sous celui de son prestataire. L'url était du type : /Pages/Admin/Adminxxx.html. Une erreur grave car en recherchant ce lien sur Google, par exemple, nous découvrons qu'aucun mot de passe n'est utile pour accéder aux sections "protégées". Nous avons rapidement contacté le prestataire qui va mettre moins de 2 heures pour corriger le problème. Il faut savoir qu'un pirate aurait pu effacer, modifier ou voler toutes les informations contenues dans cette partie.




Modifier les infos, les prix... des possibilités offertes aux pirates face à des administrations de sites mal protégées.


Cas d'école
Le cas Beneteau n'est pas unique. En une semaine nous avons eu le même problème pour MTV.fr ou encore Prosys. Des failles ouvertes qui auraient pu permettre à n'importe quel idiot du village, ou concurrent, d'avoir une masse d'informations sensibles sur ces sociétés. Pour MTV par exemple, l'accès à la partie administration aurait pu permettre de modifier les classements des chanteurs en France, Angleterre, … Mtv.fr nous a répondu dans l'heure, dans la foulée le problème était corrigé. Pour Prosys, la timidité ne leur à pas permis de nous répondre. Ils ont corrigé, c'est le principal. Juste un détail, imaginez que des gosses découvrent ce genre de problème, décident de contacter les " victimes " et ne reçoivent aucune réponse. Fabriquer des frustrés n'est pas la meilleure des solutions pour protéger nos entreprises.

 

Conseiller cet article Réagir RSS ZATAZ Partager cet article sur Wikio Partager cet article sur Scoopeo Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur Fuzz Partager cet article sur del.icio.us Envoyer cet article sur Blogmarks

Derniers contenus

Spieldberg parle du piratage de film

15-05-2013 à 12:59 - 0 commentaire(s)

Pour le réalisateur américain Steven Spielberg, président du jury du festival de Cannes, le Piratage est une artère tranchée.

Le DVD d'Iron Man 3 sur le web

12-05-2013 à 20:56 - 0 commentaire(s)

Quelques jours après sa sortie en salle, le DVD d'Iron Man 3 vient de se retrouver sur Internet.

Hack now ledge contest Benelux

12-05-2013 à 12:58 - 0 commentaire(s)

Découvrez les deux jours du Hack Now Ledge Contest Benelux qui se sont déroulés, fin avril, en Belgique.

Le FBI veut écouter, tout écouter

12-05-2013 à 10:13 - 0 commentaire(s)

Un projet de loi aux USA se prépare à condamner de 25.000$ par jour toute entreprise qui ne pourra pas permettre une écoute téléphonique.

HackNowLedge Contest France : le 29 juin

12-05-2013 à 09:44 - 0 commentaire(s)

Samedi 29 juin, l’étape française du HackNowLedge Contest Europa-Afrique dépose ses conférences et challenges de hacking à Lille.

Arrestations dans le monde du Black Market

10-05-2013 à 09:52 - 0 commentaire(s)

Après avoir piraté plusieurs banques, des pirates informatiques d'une quinzaine de pays arrêtés dans une vaste opération internationale.

Faille pour le site du CSA et Mozilla

10-05-2013 à 08:08 - 0 commentaire(s)

Potentialités informatiques malveillantes pour l'espace numérique du CSA et la partie vidéos de Mozilla.

40.000

09-05-2013 à 19:35 - 0 commentaire(s)

ZATAZ.COM vient de signer son 40.000ème protocole d'alerte.

Sur le même thème : HaideD

Correction d'une faille pour Open Office

Le site Internet dédié à Open Office corrige un problème de sécurité.

Vulnérabilité pour la boutique de Steam

La boutique Internet de l'éditeur de jeux vidéo Steam souffre d'une faille informatique qui pourrait nuire aux Gamers.

Faille corrigée pour le site de la CAF

Le site Internet de la Caisse Nationale des Allocations Familiales souffrait d'une vulnérabilité qui aurait pu être exploitée par un pirate informatique.

Bug dangereux pour Capcom Europe

Le site Internet Capcom Europe souffre d'une faille qui pourrait nuire aux amateurs de jeux vidéo du nippon.

Boulanger corrige un bug sur son site web

Il était possible de choisir le montant de sa réduction lors d'un achat via la boutique en ligne de Boulanger.

Fuite corrigée pour un espace de La Poste

La poste corrige plusieurs fuites de données sur son site coliposte.

L´Agence Spatiale Européenne piratée

INFO ZATAZ - Des serveurs de l´Agence Spatiale Européenne piratés. Mots de passe, root, emails, ftp diffusés sur la toile.

HaideD : les tendances 2010 - P2

TOP 20 des secteurs les plus contactées par un HaideD en 2010

Vos réactions ( 0 )

Réagissez à ce contenu

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.

 




Hacknowledge Contest Europa-Africa La Nuit du Hack Hacking In Progress La reference des emissions TV dediees a la cybersecurite Data Security Breach - Securite pour entreprise, pme, pmi Hack Contest Abidjan


Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA