Actualité

 

Un espace ORANGE piraté

Publié le 29-08-2011 à 00:21:44 dans le thème Réseau - Sécurité

Pays : France - Auteur : Damien Bancal


Pub : Logiciels de sécurité et de protection Internet


Note des lecteurs: 3.1/5

INFO ZATAZ - Un hacker est passé par l´un des serveurs du Fournisseur d´accès à Internet Orange. Il se fait appeler sur la toile HiddenTapz. Cet internaute, qui a contacté ZATAZ.COM jeudi dernier, nous a informé du piratage de la boutique Internet d'Orange.fr, la filiale de France Télécom. Dans les informations qu'il a semble-t-il récupéré, la base de données de cet espace commercial. Selon les tables affichées par le document communiqué à la rédaction de ZATAZ.COM : AFFILIATION, BDS, CLIENT, Commande, ... (Les Anonymous ont diffusé un extrait de ce document, ce dimanche. HiddenTapz ne nous a jamais précisé être membre des Anonymous, NDLR).

Autant dire que les intitulés des tables extraites de la base de données, via une injection SQL, de la boutique d'Orange ont de quoi inquiéter. Les mots "clients" et "commande" sont suffisamment explicite pour en comprendre le contenu. A noter que l'internaute, pour conclure ses preuves, nous a fourni le login et le mot de passe, déchiffrés, du Root (le maître des clés, NDLR) de cet espace numérique, ainsi que d'un mystérieux compte baptisé FT User.

 

Cette extraction de la base de données a été effectuée à partir d'un logiciel de piratage, très connu, créé par des hackers Iraniens. D'après les informations envoyées par HiddenTapz à la rédaction de ZATAZ.COM, la faille a été découverte en avril dernier "Peut-être que les informations privées d'Orange resteront secrètes, explique-t-il à ZATAZ.COM, Cela dépendra de la réponse d'Orange à ma future demande." Une demande qui ne nous a pas été précisée.

Du côté de chez ORANGE, les équipes en charge de la sécurité informatique ont mis en panne la boutique dés vendredi après-midi. Quid de la motivation d'HiddenTapz ? Ce dernier explique à ZATAZ.COM que "Jusqu'à ces derniers temps je n'avais jamais vraiment a été intéressé par l'Europe et l'Ouest, l'OTAN était la Bête noire pour moi. Plus j'en étais éloigné, mieux je me portais. Alors après les révolutions dans des pays arabes, utilisant Internet comme le principal médias, répercutés par les pays de l'Europe, dont la France, j'ai décidé de m'intéresser à votre pays. J'ai découvert les problèmes des Français. Je respecte le peuple, je parle avec des Français, je découvre leurs avis. Les ressemblances avec mon pays sont fortes. Nous sommes dans la même mentalité de réponse, le "œil pour œil - dent pour dent. J'ai pris une décision, me mettre du côté du peuple. Un peuple de plus en plus opprimé, comme le mien. J'ai aidé des Allemands, des Espagnols, des Russes, maintenant je vais aider les français face à leur gouvernement." HiddenTapz nous a confié avoir mis 10 secondes pour trouver la faille chez Orange. A noter que le pirate nous a apporté les preuves du piratage du serveur de l'AFAI, l'Association Française de l’Audit et du Conseil Informatiques.

 

Plusieurs interrogations viennent cependant s'entrechoquer dans les têtes de la rédaction de ZATAZ.COM. L'hacktiviste écrit dans un anglais très "professionnel", très "Wall Street English". Son action intervient alors que les opérateurs réfléchiraient à "stopper" l'Internet illimité sur le territoire hexagonale. Pour rappel, la faille a été découverte en avril 2011. Dernier point très intriguant, le hacker a utilisé la version professionnelle, donc commerciale, du logiciel de piratage iranien. Un outil informatique qui existe pourtant dans de nombreuses versions gratuites. Bref, payer 350 dollars pour se lancer dans l'hacktivisme, voilà qui peut paraitre étonnant. 

Les nouvelles armes des pirates informatiques à l'assaut des secrets des entreprises

Des pirates informatiques iraniens ont inventé un logiciel qui ne laisse aucune chance aux serveurs Internet. En quelques clics de souris, les données privées et sensibles sauvegardées sur les serveurs d'entreprises Françaises et étrangères sont accessibles aux flibustiers du web. (Cette enquête a été publiée dans le magazine Capital - Août 2010)

Tout débute à la fin du mois de mai 2010. Un hackeur français contacte la rédaction de ZATAZ.COM pour nous expliquer que certaines données de plusieurs serveurs Internet Français pouvaient être lues et copiées très simplement. « Il me suffit de quelques clics de souris pour accéder à l'ensemble des adresses électroniques d'une rédaction » soulignait-il alors. Et effectivement, en quelques secondes, une base de données s'ouvraient à nos regards étonnés. Un tour de passe-passe digne d'un David Copperfield de l'informatique. Inquiétant ! Si notre hackeur s'est donné pour mission d'aider, nous allons découvrir que le business des bases de données sur Internet est devenu un gagne pain fructueux pour des centaines de pirates informatiques. Des e.voleurs équipés de logiciels étonnants. De véritables passe-partout électroniques à l'image du logiciel H'j3v (Le nom a été modifié, NDLR), un programme créé par des bidouilleurs iraniens.

H'j3v ne paie pas de mine. Quelques boutons en anglais; deux/trois onglets; aucun mode d'emploi. Pourtant, derrière ces quelques bits, une arme redoutable qui devrait permettre aux responsables informatiques de réfléchir à deux fois sur la sécurité de leurs serveurs. Dans le cas de cet « outil », il en existerait plusieurs dizaines du même type sur la toile, il suffit de rentrer une adresse Internet trouvée via le moteur de recherche Google. « Le plus terrible, souligne François (ZATAZ.COM a modifié son prénom), un pirate informatique, Il suffit de quelques mots clés dans Google pour établir le lien qui ouvrira les portes du site que je cible ». Bilan de cette opération banale, le logiciel informatique se charge de trouver le point d'entrée à la base de données de n'importe quel site Internet. Opération que ce software effectue en moins de trois secondes. Vous avez bien lu, n'importe quel site Internet, faillible, équipé d'une base de données est en danger. Lors de notre rencontre avec François, aux hasards de nos questions, l'intrus a été capable de nous présenter des serveurs faillibles appartenant à Orange, Paris-Match, M6, mais aussi des sites gouvernementaux, des boutiques, des hôtels, ... « J'aurai pu effectuer une razzia sur leurs informations, en quelques minutes » s'amusait alors notre interlocuteur. Dans sa démonstration particulièrement inquiétante, des données bancaires se sont affichées dans certains cas ; des identifiants de connexion ; les messages internes. Bref, l'ensemble des petits et grands secrets inscrits et sauvegardés dans la moindre base de données. A noter que François nous a fourni les liens et les accès fautifs afin que les sites découverts lors de notre entretien soient alertés et corrigés. Du remord le jeune homme ? Peut-être ! En attendant, lors de sa démonstration de mai 2010, nous avons pu voir défiler devant nos yeux écarquillés des dizaines de mots de passe, non chiffrés, appartenant à des clients de l'espace PME d'Orange (netpme.professionnels.orange.fr) ; des données bancaires sauvegardées dans des bases de données de boutiques en ligne.

 

Vicieux, l'outil décortique une par une les tables d'enregistrements sauvegardées dans les bases de données. En quelques secondes, selon les configurations des sites et serveurs web, la vitesse de connexion, les identités, les adresses physiques, les courriels, les adresses ip, les messages laissés par les employés et les visiteurs des sites concernés apparaissent. Dans le pire des cas, les commandes et les données bancaires sont consultables à souhait. A noter que la version "PRO" de ce couteau Suisse Iranien est commercialisé 350 $. C'est du moins le prix qui a été proposé à ZATAZ.COM, par les auteurs. « Aujourd'hui, souligne François, une base de données peut se revendre très chère. Si je mets la main sur des adresses électroniques, je les revends à des spammeurs. Si j'accède à des données bancaires. Il existe sur la toile des espaces privés où il est possible de revendre, échanger, acheter ce type de prestations. Il m'est arrivé de toucher plus de 4,000 euros par mois en revendant mes découvertes.»

Les tarifs varient selon les « produits ». ZATAZ.COM a pu constater sur deux forums basés en Russie que les informations d'une carte bancaire (Les 16 chiffres, la date de validité et le CVV, le cryptogramme inscrit à l'arrière de la CB) pouvait se revendre entre cinq et 30 euros pièce. « Le problème, souligne le pirate informatique, est qu'il y a de plus en plus de monde pour la revente de données piratées. Cela fait baisser les prix. » Comme le souligne Jérôme Granger, responsable de la communication de l'éditeur de solutions de sécurité informatique Gdata « Cette économie souterraine qui prend de l'ampleur. Le développement de l’économie souterraine au cours des dernières années s’illustre par le biais d’un exemple : Là où les pirates informatiques se vantaient autrefois d’arriver à obtenir via des données volées un accès gratuit à d’innombrables offres de pornographie sur Internet, ils se targuent aujourd’hui du nombre de cartes de crédit qu’ils ont déjà réussi à dérober. Fait remarquable : ces données se transforment à présent en espèces sonnantes et trébuchantes. Une tendance qui a fait naître une économie souterraine. Aujourd’hui, tout ce qui existe déjà dans un vrai environnement économique légal : fabricants, commerçants, prestataires de services et clients se trouve dans l’économie des cyberdélinquants. »

Le « black market » informatique a encore de beaux jours devant lui, d'autant plus que les données nominatives, sensibles et privées tirées des bases de données sont légions sur Internet. Si la rétention de données financières est prise très au sérieux par la majorité des entreprises ayant pignon sur web, il nous a été permis de constater que les cartes bancaires pouvaient se collecter très simplement. Comme ZATAZ.COM le précisait dans son rapport 2010 dédié aux alertes de sécurité, les iSQL allaient devenir les plaies du web en 2011. No comment ! 

 

Conseiller cet article RSS ZATAZ Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur del.icio.us

Derniers contenus

Fuite de données d'auditeurs de France Info

29-04-2014 à 12:55 - 0 commentaire(s)

Ip, mail et système informatique des auditeurs web de France Info accessibles aux pirates.

Problème de sécurité pour M6 Boutique

29-04-2014 à 12:10 - 0 commentaire(s)

Un bug sur le site web de M6 Boutique pourrait permettre de piéger les clients de cet espace de télé achat.

Le contrôleur Européen de la Protection des Données a des fuites

29-04-2014 à 11:50 - 0 commentaire(s)

Le site Internet du Gardien Européen de la protection des données personnelles a des problèmes avec sa propre sécurité informatique.

Watch Dogs : plusieurs failles corrigées pour Chicago

28-04-2014 à 14:19 - 0 commentaire(s)

Plusieurs importants sites de la Ville de Chicago corrigés via le protocole d'alerte de zataz.

66 pays visés par un code malveillant dédié aux SMS

28-04-2014 à 11:51 - 0 commentaire(s)

SMS Android OS FakeInst, un logiciel malveillant qui utilise vos SMS pour détourner de l'argent.

Anonymous lance le projet AirChat

28-04-2014 à 11:40 - 0 commentaire(s)

AirChat, un projet Anonymous qui souhaite permettre la diffusion de données numériques par la bande FM.

Google rembourse des utilisateurs d'Android

28-04-2014 à 11:16 - 0 commentaire(s)

Un virus informatique cachée dans une application Android ? Google s'excuse et rembourse les internautes piégés.

Piratage d'une Université pour fabriquer des bitcoins

28-04-2014 à 11:02 - 0 commentaire(s)

Des pirates informatiques ont compromis cinq serveurs de l'Université de l'Iowa pour installer une fabrique de bitcoins.

Sur le même thème : Réseau - Sécurité

Fuite de données d'auditeurs de France Info

Ip, mail et système informatique des auditeurs web de France Info accessibles aux pirates.

Problème de sécurité pour M6 Boutique

Un bug sur le site web de M6 Boutique pourrait permettre de piéger les clients de cet espace de télé achat.

Le contrôleur Européen de la Protection des Données a des fuites

Le site Internet du Gardien Européen de la protection des données personnelles a des problèmes avec sa propre sécurité informatique.

Watch Dogs : plusieurs failles corrigées pour Chicago

Plusieurs importants sites de la Ville de Chicago corrigés via le protocole d'alerte de zataz.

Fuite de données possible via une faille Adobe Reader Android

Un PDF piégé pourrait compromettre vos données sauvegardées dans votre tablette ou smartphone sous Android.

Piratage de données bancaires chez LaCie

LaCie, fabricant de disques durs et systèmes de stockages numériques infiltré pendant 1 an... avant de s'en appercevoir.

La nouvelle secrétaire d'Etat au numérique a un site web aware

Axelle Lemaire, la toute fraîche nouvelle secrétaire d'Etat au numérique a du boulot sur la planche... en débutant par son site web.

Faille SSL, et si la NSA était au courant !

Yahoo!, Oracle, et des centaines de sites web faillibles à une vulnérabilité visant OpenSSL.

 


Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA