Un serveur de SFR infiltré

Un jeune internaute français découvre comment infiltrer un serveur de l’opérateur téléphonique SFR. L’adolescent, un peu trop curieux, risque gros si une plainte vient à lui tomber dessus.

Pour rappel, l’audit sauvage, comprenez sans autorisation de l’entreprise concernée, est considéré comme un acte de piratage. Vous allez comprendre pourquoi notre avertissement au sujet de ce genre d’audit « underground ». Michel, aime l’informatique et s’intéresse de prêt à la sécurité numérique. Il surfe, lit, fait des recherches. Sa dernière découverte l’a entraîné dans un des serveurs de SFR. « Je lance une alerte à la prise de contrôle total d’un site appartenant à SFR » explique-t-il à la rédaction de zataz.com. Il souhaite ainsi passer par le Protocole d’Alerte afin de permettre la correction.

L’espace en question appartient bien à l’entité SFR : xxxx.xxx.sfr.fr. Nous avons modifié quelque peu l’url afin d’éviter des visites inopportunes, le temps de la correction. La découverte de Michel touche un espace utilisé pour gérer plusieurs systèmes de lettres d’actualités et d’abonnements à des jeux SFR. Une intrusion simple, au dire du jeune homme « Je suis passé par une faille dans X [nom modifié par la rédaction de zataz] me permettant de créer un compte semi administrateur, ensuite avec celui si, j’ai pu changer le mot de passe du compte principal, avec lequel j’ai pu uploader avec succès un shell PHP donnant un accès complet au serveur ! » Bref, il a pris le pouvoir sur la machine et son contenu. Une prise de pouvoir offrant la possibilité de lire, modifier, copier, créer autant de document de son choix.

Oui mais…

Si chez beaucoup de jeunes internautes [plus vieux aussi, NDLR] chercher des failles est un passe temps sur le web, il ne faut pas oublier la base, la législation en vigueur. Découvrir une faille et alerter, pourquoi pas, même si la recherche sauvage dans un serveur privé n’est pas autorisée par législation. Exploiter cette faille pour voir jusqu’où « l’inventeur » peut aller pourrait finir devant un tribunal pour le curieux.

Michel, dans son envie de chercher, trouver et aider [peut-être aussi se faire de la publicité et trouver un travail, NDLR] se retrouve avec un accès frauduleux, sanctionné par l’article 323-1 du Code pénal [puni de deux ans d’emprisonnement et de 30.000 euros d’amende, NDLR]. Atteinte au système [il a modifié le système en changeant mots de passe, NDLR] est puni de cinq ans d’emprisonnement et de 7.5000 euros d’amende sans oublié l’atteintes frauduleuses aux données avec l’installation d’une backdoor [cinq ans d’emprisonnement et de 75.000 euros d’amende, NDLR].

Heureusement, Michel n’est pas un pirate mais ses actes sont réprimés par les articles 323-1 et suivants du code pénal. SFR a pris l’alerte en main en ce 14 juillet. Dernier point, rien n’empêche de penser qu’un internaute, un pirate, un vrai, ne suit pas à la trace les passionnés de failles comme Michel, et que ces vrais malveillants en profitent pour exploiter la découverte … avec les traces des « whites hat » en herbes.