Reportage

 

La CNIL visitée sans même le savoir

Publié le 07-11-2005 dans le thème HaideD

Pays : France - Auteur : Damien Bancal


Pub : Logiciels de sécurité et de protection Internet

Note des lecteurs: 2.2/5

En mars 2005, un internaute découvre comment accéder aux secrets de la CNIL, l'entité qui a pour mission essentielle de protéger la vie privée et les libertés individuelles ou publiques. Cerise sur le gâteau, ce visiteur va installer un passage secret dans le serveur de la Commission Nationale Informatique et Libertés. Enquête ! Par Damien Bancal

En se promenant sur le réseau des réseaux, Carros, nous l'appellerons ainsi, est tombé sur une étrange page Internet. Ce suisse, originaire de Bâle, a d'abord cru à une blague "Dans un forum, je lisais les commentaires d'internautes au sujet du système d'installation Typo3. L'un d'eux donnait l'url de la CNIL, pour exemple, au sujet de cet outil d'administration (http://lists.netfielders.de/pipermail/typo3france/2004-November/000126.html). Je m'y suis rendu. Je souhaitais comprendre comment fonctionnait l'outil Typo3 et j'ai donc suivi l'url du lien donné dans un forum. Et là, une popup s'est affichée. Dans cette fenêtre, ouverte à la vue de tous, un message en anglais donnant le mot de passe par défaut. Le texte précisait bien que le mot de passe par défaut était la première chose à changer", explique t'il.




Un précieux sésame qui n'a pas été changé et qui aurait pu permettre à un pirate d'accéder aux informations informatiques du serveur. "Je suis un professionnel, cela fait bientôt 16 ans que je suis dans l'informatique, une telle erreur, je n'aurais jamais cru cela possible". Pour s'assurer de ne pas tomber sur une blague de la CNIL Carros va donc utiliser l'option proposée par cette page d'installation. "J'ai donc injecté du script PHP dans le fichier de configuration et j'ai pu prendre le contrôle du serveur !" Carros a souhaité contacter la Commission Nationale Informatique et Libertés, Je suis tombé sur une dame tellement hautaine et désagréable que j'ai abandonné".





Heureusement, Carros est un cyber-citoyen, il va nous informer de sa découverte afin que nous alertions la CNIL. Après trois semaines, six courriers électroniques et quatre appels téléphoniques nous parviendrons à joindre un responsable du service informatique à la Commission. "Oui nous avons bien reçu votre courrier. Il n'y a aucun problème, nos sécurités sont activées" dira notre interlocuteur sur un ton particulièrement suffisant et désagréable. Nous avons tenté de lui expliquer que tout n'était pas aussi tranquille, que notre lecteur avait eu accès à un autre login et mot de passe, celui de la base de données. Même réaction : "cela est impossible". Nous avons donc pris un troisième exemple. Le fait de pouvoir télécharger le code source complet du site de la CNIL, dans une archive, via une adresse de type www.cnil.fr/site.zip. Le risque ? Un pirate, amateur de phishing ou de désinformation, peut réaliser un faux site de la CNIL et piéger les internautes. "Je ne vois rien, de toute façon personne ne peut agir de l'extérieur" va conclure notre sympathique correspondant. Zataz Journal n'étant pas du genre à apprécier ce genre de comportement, nous avons donc contacté le concepteur du site de la CNIL, la société Smile. Dans l'heure a suivi notre courrier, nous avons eu une réponse de la direction technique : "Il est vrai que le contenu de la page citée fait peur ! (…) il serait préférable d'interdire l'url au niveau du firewall lui-même, ce que nous recommanderons".




Quelques semaine plus tard, aprés l'intervnetion de Sébastien Huyghes, député dans le Nord de la France, l'ensemble des problémes découverts sur le site ont été corrigés.

La technologie de mise à jour utilisée par la CNIL est baptisée Typo3. Elle permet une gestion éditoriale dynamique, via le langage de programmation PHP, des quelques 1 500 pages de contenus et des services périphériques comme la newsletter, etc. Le PHP est connu aussi pour être aujourd'hui le nouveau jouet des pirates. Souvenez-vous de la découverte d'une backdoor PHP, nous en parlions dans ZATAZ Journal Papier, installée sur des serveurs à l'insu des propriétaires. Aujourd'hui il existe des versions encore plus efficaces de ces portes cachées.




Protéger votre administration
L'automatisation des tâches effectuées sur un site Internet passe aujourd'hui par une page d'administration. Des espaces de gestion qui sont encore trop souvent placés dans des répertoires baptisés /Admin/ ou encore /admin/, exemple http://www.zataz.com/admin/. Un conseil, donnez un nom plus exotique à ce répertoire. N'hésitez pas, non plus, à placer plusieurs mots de passe. D'abord pour votre admin, mais aussi, pourquoi pas, via un Htaccess. Mettre un nom compliqué pour le dossier du genre /wowaditque/, de doubler cette protection par une page d'identification et, dans les cas les plus extrêmes, d'y instaurer un contrôle Ip. Une série de restrictions qui détournera n'importe quel curieux de votre précieux centre de contrôle.

 

Conseiller cet article Réagir RSS ZATAZ Partager cet article sur Wikio Partager cet article sur Scoopeo Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur Fuzz Partager cet article sur del.icio.us Envoyer cet article sur Blogmarks

Derniers contenus

Deux ans de prison pour piratage d'écoles

20-05-2013 à 12:46 - 1 commentaire(s)

Après avoir piraté plusieurs universités et un site Internet de la police, un jeune internaute écope de 2 ans de prison ferme.

348Go d'images pédophiles par hasard dans un hd

20-05-2013 à 12:18 - 2 commentaire(s)

Un internaute Français explique au tribunal que les 348Go d'images pédopornographiques sont arrivées chez lui à cause d'un piratage.

Bose piraté, base de données volées

20-05-2013 à 12:01 - 1 commentaire(s)

Le marque de luxe de matériel hi-fi BOSE piratée. Les données clients volées.

Hack de badges Mifare Classic avec son smartphone

20-05-2013 à 09:08 - 1 commentaire(s)

Bidouiller des cartes Mifare via le NFC de votre smartphone, possible, avec NFC Mifare Classic Scanner.

L'Agence Bolivarienne d'Activités Spatiales piratée

20-05-2013 à 00:02 - 0 commentaire(s)

L'Agence Bolivarienne d'Activités Spatiales du Venezuela infiltrée par des pirates. La base de données volée.

Fausse pub, fausse mise à jour Flash

19-05-2013 à 23:21 - 1 commentaire(s)

Depuis quelques jours, une fausse mise à jour flash apparait dans de nombreux sites Internet. Explication !

Le XSS Twitter fait encore des dégâts

19-05-2013 à 10:10 - 1 commentaire(s)

Plusieurs comptes Twitter du journal Financial Times piratés par la Syrian Electronic Army.

Big Brothers Awards, le 26 juin 2013

19-05-2013 à 00:56 - 1 commentaire(s)

Privacy France présente la 11ème édition des Big Brothers Awards le 26 juin 2013 à la Parole Errante à à Montreuil.

Sur le même thème : HaideD

Correction d'une faille pour Open Office

Le site Internet dédié à Open Office corrige un problème de sécurité.

Vulnérabilité pour la boutique de Steam

La boutique Internet de l'éditeur de jeux vidéo Steam souffre d'une faille informatique qui pourrait nuire aux Gamers.

Faille corrigée pour le site de la CAF

Le site Internet de la Caisse Nationale des Allocations Familiales souffrait d'une vulnérabilité qui aurait pu être exploitée par un pirate informatique.

Bug dangereux pour Capcom Europe

Le site Internet Capcom Europe souffre d'une faille qui pourrait nuire aux amateurs de jeux vidéo du nippon.

Boulanger corrige un bug sur son site web

Il était possible de choisir le montant de sa réduction lors d'un achat via la boutique en ligne de Boulanger.

Fuite corrigée pour un espace de La Poste

La poste corrige plusieurs fuites de données sur son site coliposte.

L´Agence Spatiale Européenne piratée

INFO ZATAZ - Des serveurs de l´Agence Spatiale Européenne piratés. Mots de passe, root, emails, ftp diffusés sur la toile.

HaideD : les tendances 2010 - P2

TOP 20 des secteurs les plus contactées par un HaideD en 2010

Vos réactions ( 0 )

Réagissez à ce contenu

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.

 




Hacknowledge Contest Europa-Africa La Nuit du Hack Hacking In Progress La reference des emissions TV dediees a la cybersecurite Data Security Breach - Securite pour entreprise, pme, pmi Hack Contest Abidjan


Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA