La Ville de Paris corrige plusieurs espaces web vulnérables

Les équipes cyber de la Ville de Paris n’ont pas perdu de temps face à plusieurs failles que le Protocole ZATAZ a remonté. En moins de 24 heures, en période des ponts de mai, plusieurs sites corrigés, les failles bouchées.

Tout a débuté par une alerte lancée par un lecteur de ZATAZ. Ce dernier avait remarqué plusieurs espaces web de la Ville de Paris faillible. Des sous-domaines de Paris.fr non mis à mis à jour. Des sites tournant sous le CMS Drupal.

Pour rappel, le mois dernier, plusieurs failles sérieuses avaient été annoncées pour l’outil de publication Drupal. Je faisais d’ailleurs plusieurs alertes sur Twitter aux webmasteurs pour ne pas tarder à corriger. Beaucoup de sites faillibles. Les pirates s’étaient jetés dessus comme des hyènes sur des animaux morts.

Heureusement pour la Ville de Paris, les malveillants n’ont pas aperçu les sites rapport2016.paris.fr ; rapport2015.paris.fr et rapport2014.paris.fr. Ils auraient pu orchestrer de nombreuses malveillances. Plusieurs protocoles ZATAZ lancés.

Déjà intercepter les identifications de connexion, qui au passage méritaient mieux que 5 lettres en login et mot de passe. Ensuite, des pirates auraient pu récupérer une sauvegarde de la base de données. Barbouiller « defacer » les pages. Détourner les espaces pour organiser un phishing. Offrir la possibilité de télécharger des fichiers piégés. Installer n’importe quoi. Il est possible d’utiliser du PHP directement grâce à cet outils que fournit Drupal. Pas de données sensibles !

La 4ème faille concerne le site patrimap.paris.fr. Une XSS persistante (Cross-Site Scripting).