Alors que le second tour des élections régionales se tient dans quelques jours, la gauche a bien en main la scène politique française. Mais il n'y a bien que la scène qu'elle maîtrise puisque le site de Ségolène Royal, Désir d'Avenir, est entre les mimines d'un pirate que nous connaissons bien chez sicw-news.
Désir d'Avenir, l'histoire du Titanic des sites internet
En septembre 2009, un événement a secoué la blogosphère française...de spasmes incontrôlés dus à un crise de fou rire générale. Le 15 de ce mois sortait de sa mue le site de l'association de soutien à Ségolène Royal, desirsdavenir.org. Et révolution dans le monde virtuelle du "web 2.0", desirdavenir.org affichait plus un désir-de-retour-en-arrière.org avec un fond d'écran à la Windows XP, un titre fait avec Word et une vidéo ennuyante. Bref tout le monde s'accorde à dire que pour plus de 40 000€ de budget, c'est une daube historique.
Suite à ce "bad buzz", une nouvelle refonte du design a eu lieu. Malheureusement repeindre la façade n'a pas suffit, il aurait également fallu colmater quelques trous avec des briques neuves, car le 16 mars 2010 une faille majeure a été découvert sur le site.
Le site de Ségolène Royale piraté par un de nos guest-blogueur
Si vous suivez régulièrement ce blog , vous avez surement lu un de ses articles. En octobre dernier il avait rédigé un article très complet sur les proxy website, suivi d'un article sur le nouveau service de microblogging Yahoo!meme. Et oui, il s'agit de theSnailSnapper! Il n'avait pas donné de nouvelles après son dernier billet sur Yahoo, mais maintenant on sait pourquoi : SFR, Harvard, l'European Space Agency, Toyota ou encore l'UMP, notre bidouilleur n'a pas chômé en trouvant des vulnérabilités de criticités divers sur des dizaines de sites.
Nous avons contacté notre cher ex-guestblogueur et il a accepté de nous expliquer son action, en fournissant au passage des captures d'écran exclusives.
"J'ai pu me connecter au compte de Ségolène Royal"
Deux mots qui font frémir hacker et webmaster : SQL injection. Les premiers d'excitation, les second de terreur, c'est cette technique courante qui a permis à theSnailSnapper de rentrer par effraction dans la base de donnée du site desirsdavenir.org : "ce n'était pas compliqué, il a suffit de beaucoup de chance et de mettre un apostrophe au bon endroit". En mettant des caractères spéciaux dans les adresses URL, les pirates sont à la recherche de messages d'erreur qui leur donneront des informations sur le site en question. Ensuite en utilisant les commandes standarts des langages SQL (MySQL, MSSQL, Oracle, ...) ils naviguent dans les bases de données à la recherche d'informations intéressantes.
C'est ainsi que theSnailSnapper a pu accéder à des informations critiques sur les quelques 62 000 inscrits du site de Ségolène Royal : nom, prénom, adresse postale et mail, montant de dons. "Normalement je n'utilise jamais d'outils pour mes recherches, mais ici il y avait tellement d'informations que j'ai du utiliser un extracteur". Dans ses filets il récolte quelques gros poissons. Des journalistes, des membres de ministères, des enseignants de polytechnique ou Normal Sup', mais surtout : "J'ai pu me connecter au compte de Ségolène Royal sur desirdavenir". Le visiteur n'a effectué aucune action, à part prendre une capture d'écran :
L'Arsène Lupin numérique tient cependant à préciser que son action n'est pas mue par une idéologie quelconque: "Il y a quelques mois j'ai découvert un faille sur un des sites de l'UMP, aujourd'hui c'est à gauche, je ne suis pas un hacktiviste". Après sa découverte il s'est d'ailleurs empressé de prévenir les administrateurs du site en espérant être pris au sérieux : "quand je trouve une faille critique j'envoie toujours un mail au contact technique et administratif, mais le plus souvent les brèches de sécurité restent ouvertes encore longtemps".
Vu le passif du site et tombant en pleine période électorale, cet événement ne tombe pas vraiment à pic pour Ségolène Royale mais aussi pour les politiques en général qui ont prouvé à de maintes reprises leur incompétence dans le domaine des nouvelles technologies. Comment mettre en place un filtrage du web alors quand on est pas capable de sécuriser correctement un site internet ...
EDIT du 18/03/2010, 15h50 : comme l'a remarqué "Le Breton Sauvage" sur LePost.fr, le site est actuellement en maintenance. On ne peut donc qu'apprécier la réactivité de l'équipe technique.
Article protégé par 
Alors que le second tour des élections régionales se tient dans quelques jours, la gauche a bien en main la scène politique française. Mais il n'y a bien que la scène qu'elle maîtrise puisque le site de Ségolène Royal, Désir d'Avenir, est entre les mimines d'un pirate que nous connaissons bien chez sicw-news.
La vocation d'un homme ou d'une femme politique n'est pas de faire de l'informatique !
Tu as tout as fait raison, ce n'est pas son métier...et c'est pour ça qu'ils payent des consultants ou des boites externes.
Ensuite il ne s'agit pas d'une question de compétence, mais de crédibilité et d'image. Que se soit Ségolène, l'UMP ou le site des eaux et forêts (puisque le piratage n'est pas d'ordre idéologique) une faille de ce type revient à intervenir lors d'un congrès en pyjama (ou bourré au G8 ;) )
Bonjour,
Merci pour le "EDIT du 18/03/2010, 15h50" :)
En effet, nous avons passé le site en maintenance et procédé à une MAJ du socle applicatif Drupal qui était une vraie passoire.
Notre responsabilité d'hébergeur n'est pas en cause, car nous ne sommes pas en charge de la TMA sur ce site. Notre intervention est en mode "pompier", pour parer au plus pressé.
En revanche, il serait souhaitable, comme c'est dit dans les commentaires plus haut, que des gens sérieux prennent en main la stratégie web et répondent aux bonnes pratiques de notre domaine :)
David
En effet, l'hébergeur n'y est pour rien, il héberge, la responsabilité est ailleurs.
Joli geste de la part du hackeur.
Enregistrer un commentaire