Bienvenue sur ZATAZ

Reportage

Wanadoo sauvé des pirates

Publié le 07-11-2005 dans le thème HaideD

Pays : France - Auteur : Damien Bancal

Pub : Tous les logiciels firewall gratuits disponibles sur Internet

Note des lecteurs: 2.1/5

Mardi 05 avril 2005. Un internaute débarque sur le chan IRC de ZATAZ Journal Online. "J'ai découvert un problème de taille sur le site de Wanadoo" nous confiera-t-il. Très vite, nous allons nous apercevoir que ce problème, de taille, aurait pu couler le géant de l'Internet français. Par Damien Bancal

"Salut, je vous invite à vous rendre à l'adresse suivante" A.X ne mâchera pas ses mots, pas de fioriture en ce début avril. Cet internaute n'est pas un hacker, encore moins un pirate, juste un cyber-citoyen qui surfe comme des millions d'autres. "Je cherchais des informations pour m'abonner online, explique-t-il, et je suis tombé sur la page administration de Wanadoo". Au premier contact nous aurions pu penser à un petit rigolo comme il en existe pas mal sur la toile. Seulement A.X ne se cache pas. Il va même très vite décliner son identité et nous confier sa crainte face à une telle découverte. Et il y avait de quoi. Lors de la mise en place de l'espace abonnez-vous de Wanadoo, un compte test a été installé par l'équipe technique. Un accès afin que les administrateurs puissent accéder aux services de la filiale de France Télécom. Seulement, cette page test n'a pas été retirée et A.X est tombé dessus.

Sésame, ouvre-toi !
A.X va nous l'avouer sans mal, il a cliqué sur quelques liens "Je voulais m'assurer que je ne rêvais pas" nous dira-t-il sur IRC. D'autres internautes, largement moins sympathiques que A.X, ont-ils pu avoir accès à la même page administration, gestion des comptes, gestion des groupes, des sous-groupes, des offres Wanadoo, au moyen d'abonnements, aux redirections et à la gestion des IP, bref, au nerf de la guerre de ce Fournisseur d'Accès à Internet ? Nous ne le pensons pas, mais cela fait tout de même froid dans le dos. Imaginez les actions qu'un pirate aurait pu effectuer. Modifier les comptes, accéder à l'ensemble des mels des clients Wanadoo, se faire passer pour eux, ou encore utiliser et/ou revendre les mots de passe des clients qui étaient, eux aussi accessibles. "Dès que je compris que je n'étais pas en face d'une blague j'ai pris peur, je vous ai contacté" conclura notre interlocuteur. Nous n'aurons plus jamais de nouvelle de sa part.

Positive génération
Dès que nous avons eu l'information en main, et les preuves d'un véritable problème, nous avons mis en route notre procédure d'alerte. Première chose, joindre le plus rapidement possible un responsable de la sécurité chez Wanadoo. Après un courrier électronique et un coup de téléphone nous étions en contact avec la direction technique et le directeur de la sécurité, des risques, des infrastructures et de la qualité. On ne vous cache pas notre étonnement tant la maison Wanadoo nous semblait être un mastodonte lourd et difficile à faire bouger. Moins de 30 minutes plus tard, le problème était corrigé. Chapeau bas !

Protéger votre administration
L'automatisation des tâches effectuées sur un site Internet passe aujourd'hui par une page d'administration. Des espaces de gestion qui sont encore trop souvent placés dans des répertoires baptisés /Admin/ ou encore /admin/, exemple http://www.zataz.com/admin/. Un conseil, donnez un nom plus exotique à ce répertoire. N'hésitez pas, non plus, à placer plusieurs mots de passe. D'abord pour votre admin, mais aussi, pourquoi pas, via un Htaccess. Mettre un nom compliqué pour le dossier du genre /wowaditque/, de doubler cette protection par une page d'identification et, dans les cas les plus extrêmes, d'y instaurer un contrôle Ip. Une série de restrictions qui détournera n'importe quel curieux de votre précieux centre de contrôle.

Derniers contenus

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Vos réactions ( 0 )

Réagissez à ce contenu

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.

Application iPhone et iPad ZATAZ, gratuite et sans publicité.

L´ANSSI recrute de manière originale

Labs ZATAZ

CVE-2011-3230 Apple Safari file:// Arbitrary Code Execution Metasploit Demo

Timeline : Vulnérabilité découverte par Aaron Sigel Publication coordonnée de la vulnérabilité le 12-10-2011 PoC Metasploit fournit le 16-10-2011 PoC fournit par : Aaron Sigel sinn3r Référence(s) : CVE-2011-3230 HT5000 Version(s) affectée(s) : Safari 5.1 pour Mac OS X v10.6.8 Sa [...]

Modules Metasploit Auxiliaires MySQL

Metasploit fournit des modules auxiliaires pour la base de données MySQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes S [...]

Modules Metasploit Auxiliaires PostgreSQL

Metasploit fournit des modules auxiliaires pour la base de données PostgreSQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes SQL et li [...]

CVE-2011-0807 : Sun/Oracle GlassFish Server Authenticated Code Execution Metasploit Demo

Timeline : Vulnérabilité découverte par Jason Bowes et soumise à ZDI Notification initiale de ZDI vers le fournisseur le 23-09-20102 Publication coordonnée de la vulnérabilité le 19-04-2011 PoC Metasploit fournit le 04-08-2011 PoC fournit par : juan vazque [...]

Syndication RSS

ZATAZ mobile et PDA

PDA
Imode

A PROPOS CONTACT Graphisme par Exclusive Network
www.antivirus-enligne.com www.antispyware-gratuits.com www.firewall-gratuit.com
www.outilsgratuits.com www.antispam-gratuits.com www.antiphishing-gratuit.com www.virus-alerte.com

Tout usage des informations diffusées par ZATAZ.COM est soumi à autorisation préalable et express. La violation de ces dispositions impératives soumet le contrevenant,
et toutes personnes responsables, aux peines pénales et civiles prévues par la loi française.

Copyright ZATAZ 1997 - 2012