Un second site d’Emmanuel Macron en danger face aux pirates Russes… ou pas !

Posted On 22 Fév 2017

Tag: fuite de données, infiltration, Jeunes, Macron, sécurité informatique

Après le site En-Marche.fr, un second espace web de la constellation communicante 2.0 du candidat aux présidentielles Emmanuel Macron en danger face aux pirates. En bonus, des fuites de données.

Dans la série « faites ce que je dis, pas ce que je fais » nos politiques et leurs équipes sont tellement accaparés à plaire aux médias, et donc par rebond aux lecteurs/téléspectateurs/auditeurs, qu’ils sont totalement à l’EST des vraies préoccupations des gens, de la réalité du web… Dans notre situation, nous avons énormément entendu de choses sur « les pirates russes qui veulent du mal » au candidat Macron. Avec tout le respect que j’ai pour la femme et la professionnelle qu’est Laurence Haïm, ancienne journaliste de iTV/Canal+ en poste aux USA, aujourd’hui communicante en chef du candidat, entendre dire [Sur LCI, ndr] que les pirates Russes sont sur le dos 2.0 de son candidat commence à être particulièrement fatiguant.

Non, les pirates Russes ne sont pas à l’attaque du candidat Macron. Par contre, oui, les pirates de toute la planète sont aux aguets dès qu’il s’agit de taper dans un site Internet médiatique aussi troué qu’un gruyère. Comme ce fût le cas pour En-Marche.fr. Je vous révélais sur Twitter que ce dernier avait été corrigé après un protocole d’alerte de ZATAZ [A noter que le journal reflets.info avait aussi repéré les problèmes, NDR].

.@Protocole_ZATAZ au sujet du site @EmmanuelMacron : ok. La trentaine de failles (WP, plugins, autres…) relevée corrigée. #cybersécurité pic.twitter.com/ClUWrVMTrf

— ZATAZ.COM Officiel (@zataz) February 16, 2017

Aujourd’hui, alors que j’aurai pu penser que les équipes d’Emmanuel Macron avaient pris goût à la sécurité informatique, voici un second site en danger. Un site de la constellation communication 2.0 de de l’homme politique. Cette fois, j’ai découvert que le site Les Jeunes avec Macron, site officiel de la campagne, était tout aussi troué que son grand frère.

Face aux pirates russes… ou pas !

Un WordPress (version 4.6.3 alors que celle du moment est en version 4.7.2) faillible ; sept plugins (youtube-video-player, youtube-embed-plus, jetpack, mailchimp-for-wp, contact-form-7, …) pas à jour. Un accès d’administration en « open bar » avec identification du compte du gestionnaire [pratique pour un pirate qui veut lancer un brute force, NDR), pas de double authentification. Bref, un terrain de jeu pour beaucoup les pirates, professionnels ou non, Russes ou non. Comme l’a aussi repéré « Master » Antoine Champagne de Reflets, le dossier « Upload » du WordPress était accessible. Un simple index.html aurait suffit pour le rendre aveugle aux regards des curieux.

Cerise sur le gâteau, dans ce dossier, des fuites de données, via le plugin Mailchimp mal configuré. Plusieurs fichiers produits par ce logiciel fournissaient des mails d’utilisateurs. Des données qu’un grand pirate du numérique, Google [un américain, NDR] a pris le temps de ponctionner. J’avais repéré le problème, comme le montre ma capture écran, le 27 janvier 2017. Les informations sont dans le cache du géant de l’Internet US depuis bien plus longtemps. Quelques lignes dans Apache, pour empêcher l’accès aux fichiers .log aurait évité cela.

<Files ~ « ^.*\.(LOG|log) »>
Order allow,deny
Deny from all
Satisfy All
</Files>

Le responsable de l’univers numérique d’Emmanuel Macron, Mounir Mahjoubi, a promptement répondu au protocole d’alerte de zataz en confirmant que l’informations avait été remontée « aux personnes concernées. […] Une nouvelle version doit arriver rapidement » ! Bref, avec de telles erreurs, face aux pirates, aucun site ne peut résister !

Mise à jour : le site a été corrigé ce 22 février.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.