On ne lésine pas avec la sécurité

Des élus UMP, dont des députés et sénateurs, ont été victimes d’un piratage de données personnelles. Ce sont au total près d’un millier de « cadres de l’UMP » qui seraient concernés par cette fuite. Un exemple parmi tant d’autre de problèmes de sécurité sur la toile. Les données piratées sont issues d’une société d’hébergement & création de sites internet privée.

Mais comment la faille a-t-elle été trouvée ?

« La faille a été découverte par un « google dork », il s’agit d’une faille SQL flagrante. L’exploitation de ce genre de faille s’apprend en quelques minutes avec google/youtube. Ces failles SQL étaient présentent sur ~30 sites personnels de personnalités de l’UMP. L’exploitation de cette faille nous a mené à plus de 160 bases de données, dont la plupart étaient directement liées avec l’UMP. Dans ces bases de données, il y avait :

• des centaines (milliers?) de mails
• les identifiants confidentiels de ces députés pour se connecter à des extra/intranets
• certains identifiants confidentiels permettant de se connecter au portail privé de l’assemblée-nationale ».

En résumé, l’hébergeur n’avait pas pris soin de protéger ses bases de données, les informations ont donc pu être « recueillies » par un certain nombre d’initiés. Une belle preuve de négligence de sécurité…