Adveris avait installé une porte cachée dans les sites de ses clients

Une porte cachée dévoilée ! L’informatique a de petites finesses qui peuvent rapidement très mal tourner. Pour preuve, le cas de la société Adveris. Un pirate vient de diffuser des informations sur les clients et une backdoor installée dans chaque base de données par l’hébergeur.

Qu’un accès à un site Internet, sous forme d’ une porte cachée, soit installé par un intégrateur, on peut l’imaginer, même si cela est à mes yeux une hérésie. Que ce même intégrateur oublie de parler à ses clients de cette backdoor. Cela devient de la folie. C’est le cas qu’est en train de vivre la société parisienne Adveris.

Cette société de communication numérique vient de se retrouver avec une sacrée épine dans le pied. Ce 28 mai, un pirate a écrit à ses clients en leur indiquant qu’une backdoor donnait accès à leurs informations. « La société qui a réalisé la conception de votre site Internet a oublié de vous dire (sans doute ?) qu’elle a mis VOLONTAIREMENT un accès (login/password) présent en BDD mais qui n’est pas listé dans la page de gestion des administrateurs du site.« .

Plus grave, le mot de passe de cette administration « fantôme » est identique dans l’ensemble des sites web clients. Le pirate, qui a utilisé un webmail chiffré et sécurisé (donc anonyme, NDR) a fourni le login et le mot de passe dans sa missive. D’autres pirates n’ont plus qu’à se servir, s’installer, modifier …

Fermez une porte cachée que je ne saurais voir !

J’ai contacté des clients impactés. Je connaissais deux entreprises présentes dans le lot des société jetées en pâture. « Nous avons reçu le courriel du corbeau, ce matin [Du 28/05, NDR]. Nous n’étions pas au courant de cette backdoor. Je comprends mieux, maintenant, la présence d’un cryptomineur, dans notre site, il y a quelques semaines« .

Contacté par mes soins, Adveris m’a indiqué ne pas être au courant de ce piratage, mais que cet accès [porte cachée] était « une ancienne méthode de travail ne visant que d’anciens clients« .

Ancienne méthode, mais avec un mot de passe toujours d’actualité. Au passage, le sésame comportait 5 lettres, 4 chiffres. Un « truc » qui se casse en moins de 42 minutes en mode « attaque distribuée » selon le site Mon Password est-il sécurisé ?

Malestro, oiseau de mauvaise augure ?

Alors, qui est donc ce mystérieux lanceur d’alerte ? Son pseudo est inconnu. Il signe « Mauvais » en espagnol. Ce Grey Hat Hunter rajoute dans son document diffusé sur le web les injections SQL visant les sites des clients d’Avertis. Des injections qu’il affiche avec des extraits de bases de données comportant les identifiants de connexions à l’espace administrateur : la backdoor et l’officiel. Un ancien employé ? Une infiltration plus poussée d’un pirate ? L’enquête judiciaire qui devrait normalement suivre nous le dira peut-être ! Le document diffusé par Malestro indique « Part. 1« . Y aura-t-il une suite ?