Nous joindre par : 0756ZATAZ0

La Ville de Paris corrige plusieurs espaces web vulnérables

Les équipes cyber de la Ville de Paris n’ont pas perdu de temps face à plusieurs failles que le Protocole ZATAZ a remonté. En moins de 24 heures, en période des ponts de mai, plusieurs sites corrigés, les failles bouchées.

Tout a débuté par une alerte lancée par un lecteur de ZATAZ. Ce dernier avait remarqué plusieurs espaces web de la Ville de Paris faillible. Des sous-domaines de Paris.fr non mis à mis à jour. Des sites tournant sous le CMS Drupal.

Pour rappel, le mois dernier, plusieurs failles sérieuses avaient été annoncées pour l’outil de publication Drupal. Je faisais d’ailleurs plusieurs alertes sur Twitter aux webmasteurs pour ne pas tarder à corriger. Beaucoup de sites faillibles. Les pirates s’étaient jetés dessus comme des hyènes sur des animaux morts.

Heureusement pour la Ville de Paris, les malveillants n’ont pas aperçu les sites rapport2016.paris.fr ; rapport2015.paris.fr et rapport2014.paris.fr. Ils auraient pu orchestrer de nombreuses malveillances. Plusieurs protocoles ZATAZ lancés.

Déjà intercepter les identifications de connexion, qui au passage méritaient mieux que 5 lettres en login et mot de passe. Ensuite, des pirates auraient pu récupérer une sauvegarde de la base de données. Barbouiller « defacer » les pages. Détourner les espaces pour organiser un phishing. Offrir la possibilité de télécharger des fichiers piégés. Installer n’importe quoi. Il est possible d’utiliser du PHP directement grâce à cet outils que fournit Drupal. Pas de données sensibles !

La 4ème faille concerne le site patrimap.paris.fr. Une XSS persistante (Cross-Site Scripting).

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr - Journaliste - Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. En savoir plus : https://www.damienbancal.fr
  1. Pingback: ZATAZ Rétrospective 2018 : le web, plus troué qu'un gruyère ? - ZATAZ

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.