Plus de 200 000 sites prêts à être piratés découverts dans le darkweb

Posted On 03 Nov 2022

Tag: Cracking Hack, liste de sites, private urls sqli, sqli

Lors d’une enquête en cours, ZATAZ a découvert un fichier diffusé par un pirate contenant plus de 200 000 sites web prêts à être piratés !

Nouvelle découverte cinglante pour votre blog préféré. Lors d’une enquête en cours, un groupe pirate « connu » aurait été appréhendé du côté de Québec, je suis tombé nez-à-nez avec une proposition malveillante effectuée par un pirate informatique dans un espace hors « web ». Le hacker malveillant, que je nommerai « Cracking Hack » [identité modifiée], propose plus de 200 000 sites web faillibles à ce qu’il annonce être une injection SQL.

Pour rappel, cette vulnérabilité permet, via quelques manipulations informatiques, d’accéder aux bases de données installées dans un site web, un serveur, etc.

Cracking Hack explique que sa collecte a pu être réalisée à partir de Dork Google, de recherche personnelle et de collecte auprès de « collègues » pirates. Dans les 205 538 sites, plus de 6 000 en .fr ; 4 000 .be ; 2 030 en .ca ; etc. Le black hat fournit l’url du site et l’espace faillible. Pour certains cas, ils proposent plusieurs adresses.

Tous faillibles ? Il n’est pas question pour votre serviteur de tester, c’est interdit et illégal. Et même si je le pouvais, 200.000 ça laisse peu de temps pour faire autre chose. Cracking Hack est connu dans son milieu pour être un « bon vendeur » de sites et de bases de données. Peut-être que cette liste est le fruit de plusieurs mois, d’années de pérégrination malveillante. Mais un signal pirate, même faible, doit être pris très au sérieux !

En attendant, le Protocole ZATAZ a alerté les autorités compétentes en France [ANSSI] et au Québec [Ministère de la Cybersécurité et du Numérique].

Pour se protéger d’une telle fonctionnalité pirate ? D’abord, contrôler la saisie dans vos applications. Une simple apostrophe dans un moteur de recherche, par exemple, devient un indicateur marquant. Bloquer les caractères spéciaux. Il est fortement conseillé de chiffrer les données considérées comme sensibles, dans votre serveur. Même en cas d’interception, le pirate ne verra rien d’exploitable. Des solutions, comme Cloudflare, permettent d’empêcher toute saisie malveillante. Le plus sûr est de vous rapprocher d’un professionnel de la cybersécurité qui pourra auditer et permettre la correction. Le Service veille ZATAZ propose à ses clients de cacher des éléments dans les BDD.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.