Nous joindre par : 0899274448*

La Ville de Paris corrige plusieurs espaces web vulnérables

Les équipes cyber de la Ville de Paris n’ont pas perdu de temps face à plusieurs failles que le Protocole ZATAZ a remonté. En moins de 24 heures, en période des ponts de mai, plusieurs sites corrigés, les failles bouchées.

Tout a débuté par une alerte lancée par un lecteur de ZATAZ. Ce dernier avait remarqué plusieurs espaces web de la Ville de Paris faillible. Des sous-domaines de Paris.fr non mis à mis à jour. Des sites tournant sous le CMS Drupal.

Pour rappel, le mois dernier, plusieurs failles sérieuses avaient été annoncées pour l’outil de publication Drupal. Je faisais d’ailleurs plusieurs alertes sur Twitter aux webmasteurs pour ne pas tarder à corriger. Beaucoup de sites faillibles. Les pirates s’étaient jetés dessus comme des hyènes sur des animaux morts.

Heureusement pour la Ville de Paris, les malveillants n’ont pas aperçu les sites rapport2016.paris.fr ; rapport2015.paris.fr et rapport2014.paris.fr. Ils auraient pu orchestrer de nombreuses malveillances. Plusieurs protocoles ZATAZ lancés.

Déjà intercepter les identifications de connexion, qui au passage méritaient mieux que 5 lettres en login et mot de passe. Ensuite, des pirates auraient pu récupérer une sauvegarde de la base de données. Barbouiller “defacer” les pages. Détourner les espaces pour organiser un phishing. Offrir la possibilité de télécharger des fichiers piégés. Installer n’importe quoi. Il est possible d’utiliser du PHP directement grâce à cet outils que fournit Drupal. Pas de données sensibles !

La 4ème faille concerne le site patrimap.paris.fr. Une XSS persistante (Cross-Site Scripting).

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM Journaliste (damienbancal.fr) Travaille sur les sujets cybercriminalité/cybersécurité depuis 1992 ; Officie/a officié pour Europe 2, 01net, Micro Hebdo, La Voix du Nord, Tilt, Entrevue, l’Écho des Savanes, Le Canard Enchaîné, France 3, Nord'way, Programmez ... Premier article en 1989 dans le mensuel "Amstar & CPC" ; Auteurs/coauteurs de 8 livres : "Pirates & hackers sur Internet" (Ed. Desmaret) ; "Hacker, le 5ème pouvoir" (Ed. Maxima) ; Ethical Hacking (Ed. ENI) ; "Tout pour maîtriser votre PC et Internet" (Ed. Que Choisir) ... Intervenant pour la Licence professionnelle Collaborateur pour la Défense et l'Anti-Intrusion des Systèmes Informatiques (CDAISI) IUT de Maubeuge ; Master Cyberdéfense Université de Valenciennes ; Commandant Réserviste Cyberdéfense Gendarmerie Nationale (RCC) ; Reserviste de l'Education Nationale ; Chroniqueur pour WEO TV et France Bleu Nord.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.