Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
11 novembre 2011 5 11 /11 /novembre /2011 23:09

 

L'UMP a trouvé meilleur élève que lui...

Le chaseur chassé ou quand le boomerang revient enfin à l'envoyeur.

Beaucoup de députés UMP avaient confié l’élaboration de leur site Internet à une petite société, contenant leurs données personnelles, des données allant de leur numéro de téléphone jusqu'à leur adresse, des données pour le moins dérangeantes et apparemment peu sécurisées. La découverte par un groupe de pirates d’une faille SQL « flagrante », qui permet potentiellement à n’importe quel internaute d’accéder en quelques clics à plus de 160 bases de données répertoriant notamment les identifiants confidentiels des députés UMP, des informations (très) personnelles, et plusieurs milliers de mails…

C’est l’étonnant cocktail qui agite depuis deux jours la classe politique, après la divulgation sur PasteBin, par le groupe «DoX-UMP» de données personnelles de responsables UMP.

 

imgbas_hacker-mega-logo11.jpg« DoX-UMP » le Leak des données personnelles de plus de 1000 cadres de l’UMP n'est officiellement pas disponible sur internet, mais le groupe pastebin garrant des informations hacker écrivait le jour de la publication:
« A tous les gardés à vue, aux banlieues karchérisées, aux manifestants battus, aux journalistes espionnés, aux demandeurs d’asile ignorés et matraqués, aux Roms stigmatisés, à toutes les victimes de l’UMP... nous vous livrons leurs coordonnées. Oeil pour oeil, dent pour dent »


Communiqué publié sur Pastebin : Nous sommes les auteurs de la publication des données « légérement » privées des députés UMP, le désormais fameux « DoX-UMP » : Nous avons fait un communiqué complet plus tôt aujourd’hui, transmis à un journaliste qui nous a invité à discuter, mais en attendant la publication de ce communiqué, si publication il y a, dans le doute nous tenons à signaler (répéter) quelques points importants :

  • Aucun site « institutionnel » n’a été attaqué, ni même visé.
  • Les données sont issues d’une société d’hébergement & création de sites internet privée. (mes-conseils.fr)
  • La faille a été découverte par un « google dork », il s’agit d’une faille SQL flagrante.
  • L’exploitation de ce genre de faille s’apprend en quelques minutes avec google/youtube.
  • Ces failles SQL étaient présentent sur 30 sites personnels de personnalités de l’UMP.
  • L’exploitation de cette faille nous a mené à plus de 160 bases de données, dont la plupart étaient directement liées avec l’UMP.

Dans ces bases de données, il y avait :

  • des centaines (milliers ?) de mails
  • les identifiants confidentiels de ces députés pour se connecter à des extra/intranets
  • certains identifiants confidentiels permettant de se connecter au portail privé de l’assemblée-nationale.

Nous aurions pu, en voyant tout ceci :

  • écrire des mails en utilisant les adresses officiels de certains députés.
  • tenter de pirater le site de l’assemblée-nationale « de l’intérieur ».
  • mails identifiants & mot de passe compris.
  • les vendre à des pays étranger ?

Nous avons choisi de ne publier qu’une partie des données, expurgée de ce qu’il y avait de plus sensible. Nous souhaitions être entendu, chaque jour des centaines de personnes se font pirater leurs données privées transmises à des société privées. données, qui sont ensuite partagées sur le net, dans l’indifférence totale de ces sociétés privées piratées, et des responsables politiques. Mais ces citoyens ont rarement la chance de tomber sur des pirates qui ne dévoilent pas les mots de passes, ou le contenu de mails. A ceux qui nous qualifient d’ « irresponsables », et que ce piratage est « grave » nous tenons à demander : Qui est « irresponsable » ? Qu’est ce qui est « grave » ?

  • Ce webmaster qui laisse quasi-ouvert son serveur MySql, qui utilise le même mot de passe partout, et qui semble très peu regardant quand à la sécurité des données qu’il héberge ?
  • Certains députés, qui confient à ce webmaster privé leurs identifiants officiels de député ?

A ceux qui nous qualifient de « cyber-idéalistes attaquant la nation », nous tenons à dire que :

  • Nous n’avons publié aucun mot de passe permettant d’accéder aux sites institutionnels, malgré leur présence dans la base de données.
  • Nous sommes tombés par hasard (google dork) sur cette faille, nous avons regardé où elle menait par curiosité avant tout.
  • Nous n’avons pas publié la faille en question, ce qui aurait permis à n’importe qui de s’emparer de toutes ces données.
  • Nous n’avons ni attaqué ni visé aucun site institutionnel.
  • Cyber-Idéalistes tout-court, pourquoi pas !

Alors pourquoi avoir publier ces données ?
Nous avons simplement profité de cette occasion pour mettre l’UMP en face de ses contradictions, situation tellement ironique… Plus de fichiers = Plus de fuites. Et plus les fichiers sont « tendancieux », plus le risque de fuite sera grand. Il y a quelques mois une loi a été votée autorisant le « fichage de 45 millions de personnes honnêtes », lorsque 566 des 577 députés étaient absents ! Il y a quelques jours, Israël s’est « rendu compte » que les données privées de 9 millions de ses citoyens circulaient sur internet.

La gravité de notre piratage et des données rendues publiques, quelques sms, est quelques peu désuète quand on se pose les questions suivantes :

  • Que se serait-il passé si ce piratage était l’œuvre d’un pays étranger, pas forcément très amical, qui aurait pu ainsi envoyer/recevoir des mails avec l’adresse officielle de membres du gouvernement ?
  • Que se serait-il passé si ce piratage avait mené à un piratage de tout le site du groupe UMP ou du site de l’assemblée nationale en compromettant surement des données réellement sensibles ?

Nous n’avons rien sauvegardé de ce que nous avons vu dans ces bases de données, il n’y aura pas d’autres publications de données de notre part. Nous sommes certes un peu moqueurs, mais pas plus que les personnes visées dans nos premières publications, non ? Nous ne sommes pas des ennemis des institutions. Nous n’appelons pas à la haine, mais nous soutenons les luttes citoyennes, et même parfois, les luttes « par effraction » !

Moralité : « Plus de fichiers = Plus de fuites. »

 

Les données ne sont que retransmises que sur demande...

Partager cet article

Repost 0
Published by Léthé - dans Anonymous
commenter cet article

commentaires

pépé 18/11/2011 17:14

il faut dénoncer le fichage à outrance du gouvernement Hado-pitre!!

blues 18/11/2011 11:59

Il faudrait mettre à profit cette attaque et ces données pour mettre la pression au cul des dirigeants...

La Libre dépêche


 indiscret, bavard, le Cancanier  ce site, libre où vous pourrez piocher l'information, celle là même que l'on essaye souvent de vous cacher ou de vous interpréter.