Reportage

 

Le PMU a-t-il été piraté ?

Publié le 29-09-2004 dans le thème Hacking

Pays : France - Auteur : Damien Bancal


Pub : Tous les logiciels firewall gratuits disponibles sur Internet

Note des lecteurs: 2.2/5

En 2001, nous vous révélions, en exclusivité, l'affaire visant le Pari Mutuel Urbain. Un " internaute " avait diffusé sur Internet un dossier complet sur la façon de pirater le PMU. Codes, logiciels, accès sensibles, ... Quatre ans plus tard, rebondissement.

Rappel des faits : novembre 2001
"Nous avons piraté le réseau informatique du PMU est nous avons créé ces sites afin de vous faire profiter de nos découvertes (…) vous trouverez une documentation complète qui intéressera les hackers. (…) un trésor de 35 milliards de francs vous attend." Cette phrase d'introduction est tirée d'un site pirate, mis en ligne sur le service d'hébergement de Wanadoo en novembre 2001. (VOIR) De manière cavalière, un pirate proposait d'infiltrer le réseau informatique du Pari Mutuel Urbain. Trafiquer les paris, faire de faux virements ou encore créer des emplois fictifs avec des employés virtuels. Une blague ? Nous avions joint le PMU. Certains des essais effectués au téléphone avec le Pari Mutuel, comme tester le mot de passe d'un de nos interlocuteurs, nous avaient permis, à l'époque, de penser que les informations diffusées n'étaient pas des affabulations d'un e-mythomane. L'auteur du dossier pirate, lui, expliquait son acte ainsi sur son site Internet : "Le fameux projet PEGASE qui permet aux joueurs de parier à partir des bars, tabacs via des moyens électroniques est une grosse merde. Tout simplement, ça ne marche pas. Il existe un nombre important de joueurs qui se sont fait léser. Le PMU les fait taire par tous les moyens." Plusieurs média et sites web avaient repris, à l'époque, notre découverte : Libération, Le Monde, Paranos, ... Même le pathétique HMN avait utilisé notre information sur cet étrange piratage. Le PMU restera muet. Il faudra attendre le 30 mai 2004, dans les colonnes du journal le Monde, pour qu'un directeur des opérations et des systèmes d'information du PMU explique " qu'il y a eu quelques incidents dus à des dysfonctionnements informatiques ". Aucun autre écho sur le dossier " pirate " ; L'un de ces incidents connu date de décembre 2003, l'ensemble de la configuration de production du PMU a… planté. Toute prise de paris était devenue totalement impossible durant prés de deux heures. Pourquoi ? Imaginez un serveur capricieux recevant les ordres de paris provenant de 12 000 terminaux. Un engorgement de données fatal. Un DDoS, un Déni Distribué de Service interne des plus efficace. Le dossier du pirate proposait, justement, un logiciel qui devait permettre ce genre de plantage. Coïncidence ?

Aprés notre révélation
En diffusant ces documents ultra sensibles, le pirate a déclenché une enquête de taille XXL. Une instruction sera ouverte, à l'époque, par le juge Rippol. Durant cette enquête des doutes importants avaient visé un compte PMU utilisé par un commercial de la Guadeloupe. Un compte Internet qui avait permi la diffusion des documents secrets. Le piratage aurait eu lieu dans un triangle entre un cybercafé de Marseille, la direction PMU de la Martinique et une agence du Pari Mutuel Urbain de la Guadeloupe. A noter que, normalement, les règles de routage du PMU interdissent une connexion à Internet. C'est-à-dire que le PMU ne peut pas être piraté via Internet en utilisant les adresses des commerciaux. Sauf que, le compte en question permettait de se connecter au PMU via Internet en utilisant un canal VPN. Les pirates avaient-ils d’autres comptes ?

Ip, mots de passe et serveurs sensibles
La soixantaine de pages du document pirate contenaient des centaines d'informations, des noms, des téléphones, des fonctions, des mots de passe, des IP. Le but ? "Vous donner le plan de l'architecture du réseau PMU avec toutes les informations nécessaires pour que les spécialistes puissent aisément forcer les portes puis pénétrer allègrement jusqu'au réseau PEGASE de manière à pouvoir modifier ou créer des paris. Bien sûr rien ne vous empêche de faire un détour par le réseau interne, par exemple, pour ravager quelques serveurs et postes de travail", dixit le pirate sur sa page web. "Nous avons facilement pu accéder à ces documents ultra confidentiels que nous nous permettons de vous dévoiler. A la fin de ce document vous trouverez la liste des ingénieurs qui à l'origine les ont conçus pour le PMU". Concluait le cyber délateur.

Novembre 2000 à septembre 2004 : invalidation 7650
Monsieur Petit est un ancien buraliste de Guadeloupe. Une affaire qui marche, trois employés et un rachat d'un point PMU en ligne de mire. Seulement, très vite, des dysfonctionnements vont apparaître. Le 1er juin 2001, le système Pégase est utilisé dans l'ensemble des PMU de France et des DOM-TOM et plusieurs buralistes vont se retrouver avec des trous dans la caisse PMU injustifiés. En 15 jours, le cas de monsieur Petit est dramatique. 165 000 francs, soit plus de 24 000 euros, ont disparu sans la moindre explication. Une vingtaine de points de vente PMU de Guadeloupe vont être touchés par cet étrange problème. Le PMU avouera quelques dysfonctionnements informatiques durant la période de décembre 2001… Soit quelques semaines après la diffusion des documents pirates. Il n'est pas le seul dans ce bourbier informatique. Une autre plainte, déposée cette fois par un buraliste de Basse Terre, auprès du Procureur de la république semble mettre en avant un véritable dysfonctionnement. " Depuis le 31 mai 2001, date du lancement de Pégase, je n'ai cessé d'interpeller le PMU sur des dysfonctionnements relatifs à mes états de caisses journalier ", dixit la lettre envoyée au procureur.

Le 7 juin 2002, un constat d'huissier atteste d'un problème informatique visant le système du PMU. Le problème, de taille, démontre que le même ticket gagnant était utilisable plusieurs fois, donc permettre à son possesseur de recevoir plusieurs fois la mise remportée. Le cas de monsieur petit est délicat, le ticket en question est d'une valeur de … 4 000 euros. " Beaucoup de tickets ont été acceptés par les terminaux sans que l'ordinateur central du PMU n'enregistre les paiements, explique Laurent Petit. Bilan, le PMU réclame prés de 45 000 euros à cet ancien buraliste qui a du mettre la clé sous la porte.

Des faits étranges
Que pensez de tout ceci ? Une fois encore le PMU n'a pas souhaité nous répondre. Nous avons pourtant contacté par mel et téléphone, plusieurs fois de suite le service communication des amis des chevaux. Rien, aucun frémissement de crinière. Dommage car nous aurions aimé savoir pour, par exemple, certains buralistes, qui avaient eu exactement le même problème ont eu leurs ardoises effacées et leurs dettes " fantômes " oubliées. Exemple concret, celle d'un buraliste de Basse Terre, aux Antilles françaises. Plus de 17 000 francs de trous que le buraliste ne justifie que par un problème informatique. Bilan, quelques mois plus tard, le PMU informe qu'un geste commercial efface cette dette " Notre direction consciente, d'une part, des difficultés rencontrées lors de la mise en service de notre outil informatique (Pégase, ndlr) et notamment de ses nouvelles fonctionnalités et de leur utilisation, et d'autres part soucieuse de l'esprit de partenariat dont vous faites preuve journellement, souhaite vous prouver sa considération ". Rien à se reprocher le PMU ? Alors pourquoi M. Petit, lui, doit rembourser ?

Ce micmac informatique va connaître un nouveau rebondissement le 30 juillet 2004. Le PMU sera assigné en référé à fin d'expertise, le 29 septembre 2004, devant le Tribunal de Grande Instance de Paris par l'avocat de renom maître Gilbert Collard. Parmi les questions posées, déterminer la fiabilité du système informatique du PMU. Peut-être seront nous, si, oui ou non, un pirate est passé par là ou un simple bug ! En attendant, le PMU a demandé un report. Fin de ce feuilleton chevalesque le 13 octobre prochain.

 

Conseiller cet article Réagir RSS ZATAZ Partager cet article sur Wikio Partager cet article sur Scoopeo Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur Fuzz Partager cet article sur del.icio.us Envoyer cet article sur Blogmarks

Derniers contenus

Fuite de données d'auditeurs de France Info

29-04-2014 à 12:55 - 0 commentaire(s)

Ip, mail et système informatique des auditeurs web de France Info accessibles aux pirates.

Problème de sécurité pour M6 Boutique

29-04-2014 à 12:10 - 0 commentaire(s)

Un bug sur le site web de M6 Boutique pourrait permettre de piéger les clients de cet espace de télé achat.

Le contrôleur Européen de la Protection des Données a des fuites

29-04-2014 à 11:50 - 0 commentaire(s)

Le site Internet du Gardien Européen de la protection des données personnelles a des problèmes avec sa propre sécurité informatique.

Watch Dogs : plusieurs failles corrigées pour Chicago

28-04-2014 à 14:19 - 0 commentaire(s)

Plusieurs importants sites de la Ville de Chicago corrigés via le protocole d'alerte de zataz.

66 pays visés par un code malveillant dédié aux SMS

28-04-2014 à 11:51 - 0 commentaire(s)

SMS Android OS FakeInst, un logiciel malveillant qui utilise vos SMS pour détourner de l'argent.

Anonymous lance le projet AirChat

28-04-2014 à 11:40 - 0 commentaire(s)

AirChat, un projet Anonymous qui souhaite permettre la diffusion de données numériques par la bande FM.

Google rembourse des utilisateurs d'Android

28-04-2014 à 11:16 - 0 commentaire(s)

Un virus informatique cachée dans une application Android ? Google s'excuse et rembourse les internautes piégés.

Piratage d'une Université pour fabriquer des bitcoins

28-04-2014 à 11:02 - 0 commentaire(s)

Des pirates informatiques ont compromis cinq serveurs de l'Université de l'Iowa pour installer une fabrique de bitcoins.

Sur le même thème : Hacking

Je vous refais le nez... et le serveur ?

480.000 dossiers médicaux d'une clinique de chirurgie plastique et esthétique compromis dans une intrusion informatique.

Données volées sur le site des vétérans de guerres US

Une base de données du Veterans of Foreign Wars compromise par un piratage informatique.

Jackpot via un cheat code

A partir de manipulations de touches, des amateurs de casinos raflent 10 millions d'euros.

Guerre numérique entre pro et anti Israël

Batailles rangées entre les pros et les antis Israël. Des hacktivistes israéliens diffusent les identités d'Anonymous.

Guerre numérique entre pros et anti gouvernement Syrien

Un groupe d'hacktivistes anti gouvernement Syrien vient de diffuser plusieurs dizaine de milliers d'accès à des comptes mails appartenant à des Syriens.

Piratage informatique du Boeing 777 possible ?

Le Canada se penche sur les possibilités de pirater un avion de ligne.

Piratage dans les spiritueux

La société Spec's, spécialisée dans la vente d'alcool, se fait visiter par un pirate informatique. 500.000 clients touchés.

Le parlement du Nigeria piraté

Un groupe de pirates informatiques s'attaque au site du gouvernement du Nigéria. Les comptes administrateurs et des sénateurs copiés.

Vos réactions ( 0 )

Réagir

 


Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA