Piratage de plusieurs universités françaises

Il se nomme TheDestroyer. A première vue, un francophone qui a décidé de lancer sa propre guerre à l’encontre de l’Education Nationale Française.

Pourquoi une telle cible ? La rédaction de zataz.com a pu entrer en contact avec l’internaute et tenter de comprendre ses motivations : « Je peux vous dire, possible étudiants dans une université française, vos données sont à l’air libre, accessible au premier crétin capable d’utiliser des logiciels de piratage« . Ses preuves ? En quelques jours, l’hacktiviste, qui semble vouloir dénoncer un laxisme au sein des universités françaises dès qu’il s’agit d’informatique et de données privées, a piraté Lyon 1, Lyon 2, L’université du Havre, de Montpellier 1, Paris Diderot, Jussieu ou encore Poitiers. Il s’est invité directement dans les serveurs.

Dans cette opération que The Destroyer a baptisé « Pwning French Education« , l’homme modifie les espaces qu’il a visité et diffuse, ce qui est plus regrettable, les informations qu’il a pu trouver sur les serveurs : mots de passe, bases de données, … Nous lui avons posé la question à savoir si ses attaques étaient simples, il semble choisir une cible et lui faire subir les derniers outrages. « Simple ? des simples Google Dorks pour repérer les sites et les liens faillibles (…) Ce qui aurait pu être regrettable, c’est que je diffuse les mots de passe MySQL trouvés sur le serveur, utilisables par une personne ayant accès au système de gestion de base de donnée tel que Phpmyadmin. Il était installé sur le même serveur. ».

TheDestroyer

Paris Diderot

A première vue, The Destroyer est la partie visible d’un iceberg inquiétant. Par exemple, en ce qui concerne l’université du Havre, une pharmacie pirate avait installé ses pilules de cialis et autre viagra dans les murs numériques de l’école bien avant le passage du pirate francophone. « J’ai remarqué la pharmacie pirate, souligne à la rédaction de zataz.com The Destroyer. J’ai repéré comment elle avait fait, j’ai réutilisé la même faille, une faille dans le spip installé. » Même sanction pour le site du Laboratoire Montpelliérain d’Economie Théorique et Appliquée « et presque tous ses sous domaines »  comme celui du Laboratoire d´Economie Expérimentale de Montpellier ou le site de gestion des expériences du LEEM. Inquiétant ? Oui ! Surtout quand les attaques concernaient aussi le site du Département des Ressources Informatiques de Montpellier2. « Le plus drôle, termine le pirate, le cas d’un sous domaine d’univ-paris-diderot.fr, et son petit login.txt à la racine avec les identifiants de connexion de l’admin spip« .

google alerte

Les failles, corrigées depuis le passage du pirate, était pourtant connue depuis longue date. Elle aurait pu permettre de récupérer absolument toutes les données personnelle stockées sur les serveurs, aussi bien celles des étudiants que celles du personnel. TheDestroyer indique ne pas avoir copié les données. « Mon but n’est pas de donner des informations aux pirates effectuant du phishing, mais de faire comprendre aux administrateurs systèmes de l’Education Nationale l’importance de la relecture du code existant et des mises a jour des CMS tel que spip« .

Bref, si le piratage comme moyen de protestation n’est pas la meilleure idée du monde, l’auteur risque tout de même 5 ans de prison et plusieurs dizaines de milliers d’euros d’amende, il aura eu le mérite de montrer que la sécurisation des données des étudiants est loin d’être la priorité de certaines écoles ; que la mise à jour de CMS tel que SPIP ne devrait pas être qu’une note de service signée du CERT France.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. phanatiks Reply

    Même si cela fait bien d’un point de vue journalistique, il y a un grand pas entre pirater un CMS qui décrit les activités d’un labo ou d’une université et celui de « récupérer absolument toutes les données personnelle stockées sur les serveurs, aussi bien celles des étudiants que celles du personnel ».
    C’est utile de montrer les faiblesses, inutile de faire du catastrophisme…

    • Damien Bancal Reply

      Bonjour,
      Sauf que dans certains des cas cités, il y a bien plus que de visiter un CMS, comme l’installation d’un shell (Backdoor / porte cachée) qui semble avoir permis à ce pirate des visites indiscrètes.

  2. Butchu Reply

    Absolument affligeant. Lui s’amuse beaucoup mais il faut savoir que, dans les laboratoires par exemple, les sites internet sont gérés par des volontaires bénévoles qui vont perdre beaucoup de temps avec ces conneries. Je peux vous démontrer que toutes les carreaux de votre maison sont fragiles: si je lance une pierre assez fort, elles cassent… C’est du même niveau.

  3. bangbang Reply

    L’information est intéressante. On peut discuter des intentions de TheDestroyer : est-il de bonne volonté ou juste à la recherche de notoriété style kikoolol..
    Toujours est-il que nous sommes en face de failles de sécurité, non comblées.

    Mais, pour bien connaitre le milieu, je dirais que le résultat est bien meilleur que ce que j’aurais pu craindre. Entre
    – les diverses entités de chaque université (laboratoires, équipes de recherche écoles internes, instituts, etc.) avec chacune son site web,
    – la culture d’ouverture universitaire (quasiment génétique),
    – le peu de considération (ne parlons même pas de moyens) dévolue à la sécurité,
    – l’utilisation des bonnes volontés (qui n’ont souvent pas pu suivre de formation idoine) comme administrateur,

    le résultat est loin d’être apocalyptique.

  4. CB Reply

    La réaction de Butchu est effectivement la bonne. Si ce cher monsieur TheDestroyer se met à vandaliser toutes les voitures qu’il croisent en cassant les pare-brises, en rayant les carrosserie en arrachant les sacs des personnes âgées et en allant clamer haut et fort dans la rue leur courrier personnel subtilisé dans leur sac, va-t-on faire un article pour expliquer que nous avons à faire à un génie qui donne des leçons aux fabriquant d’automobiles ? aux personnes agés ?
    Tant que l’on écrira des articles de la sorte et que l’on ne commencera pas à expliquer clairement aux lecteurs en préambule que l’on a à faire à un simple petit délinquant au comportement asocial et que mettre le nez dans les affaires qui ne sont pas les nôtres, même quand on en a la possibilité (et croyez moi dans la vie courante on en a souvent l’occasion sans que le magnifique TheDestroyer nous en donne les ficelles) est avant tout un comportement de savoir vivre dans la société et non une marque de génie, on avancera pas sur une bonne compréhension du comportement social numérique.

    • Damien Bancal Reply

      Bonjour,
      CB : Je pense que les articles de lois sont justement là pour rappeler que ce genre d’acte est un délit.
      Nous ne donnons que les faits. Eviter/édulcorer l’information parce qu’elle est provoquée par un vandale est votre idée, pourquoi pas. Seulement notre mission est d’alerter, et sans cette alerte, vous seriez peut-être encore infiltré par je ne sais qui, et les données des élèves, profs, … dans les mains de gens encore moins recommandables. Si un vandale casse un pare-brise, et qu’il vole dans la voiture des milliers de dossiers qui étaient en accès libre alors qu’ils ne devraient pas y être, je pense qu’avertir les propriétaire de la voiture et les inscrits, dans les dossiers, est une obligation.

      Pour finir, d’après les informations de la rédaction, le pirate n’est pas prêt de recommencer après sa rencontre avec « Les amis du petit déjeuner ».

  5. Francois carmignola Reply

    La problématique du « hacker » est toujours là: allez précipitez vous sur l’immonde salaud qui non seulement frappe la vieille dame mais a le bon gout d’en discuter cyniquement.

    Au fait, vous avez une idée de ce que font VRAIMENT ceux qui ne publient pas leur exploits ?

    Honneur aux idéalistes qui malgré la bêtise des gouvernants et des gouvernés continuent de faire appel à l’intelligence des bénévoles ! Et oui, rien n’empêche et tout oblige le bénévole à être malin !

    Vive cette nouvelle chevalerie !

  6. Francois carmignola Reply

    Au cas où mon emportement porterait à ambiguité.
    Zataz est l’honneur du web Français et je lui adresse mes salutations les plus respectueuses.

    Contrairement à ce que continue de dire et faire croire la loi Française, la protection individuelle contre le mal issu de l’internet doit être assumé individuellement. Cela s’appelle la responsabilité dans un univers global.
    L’Etat ne peut assumer cette mission: c’est à NOUS de le faire !

  7. TheDestroyer Reply

    Bon, rapidement.

    Juste pour dire que l’article est parfaitement juste, dans le cas de l’université du havre et de l’université Paris Diderot , ayant récupéré y accès complet au serveurs principaux, j’aurais effectivement pus récupérer absolument toute les donnée stoquée sur les serveurs. Absolument tout. Mais je ne l’ai pas fait. Par ailleurs j’ai été interpellé par la dgsi, à cause de ça. Comme ça j’ai été sanctionné . Content?

    • Orla Reply

      Bonjour Destroyer, je travaille à l’université du havre (enseignant chercheur). Je dirige une petite structure qui fait partie de l’ensemble et on crée un nouveau site pour cette structure. Si on le fait en CSM wordpress, et si jamais vous décidez d’attaquer le site de nouveau, est-ce que vous allez pouvoir mettre hors service notre site en même temps? ou est-ce que le fait d’être en wordpress va nous protéger un peu dans la mesure où le site est en CMS spip? merci de votre aide, bien cordialement, Orla

      • Damien Bancal Reply

        Bonjour,
        Je doute que ce pirate vous réponde. Il faut savoir que peu importe le CMS, l’important est de toujours le mettre à jour. Sous WordPress (qui vient de passer en Version 4.0) les mises à jour sont rapides et surtout très lisibles pour des non-avertis. Il est important aussi de limiter les Widgets (appplications) et penser à la MàJ de ces derniéres. N’hésitez surtout pas, non plus, à utiliser une double authentification pour votre WordPress comme expliqué ici -> http://www.datasecuritybreach.fr/configurer-efficacement-la-double-identification-google/#axzz3CWxvC26q

        Cordialement

        • Orla Reply

          bonjour et merci, oui, nous serons très vigilants en termes de mises à jour, et nous allons suivre vos conseils sur l’authentification. Merci, bien cordialement, Orla

  8. Orla Reply

    Pardon, je précise. Nous on crée un site en CMS wordpress et il est question de l’héberger sur le site de l’université (toujours hors service, soit dit en passant), et je voulais savoir si le fait que notre site soit en CMS wordpress va le protéger un peu si jamais vous attaquez de nouveau le site de l’université (en spip). Merci de votre aide, bien cordialement, Orla

Répondre à Damien Bancal Annuler la réponse

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.