La boutique Orange.fr confirme avoir été la cible d'un hack (màj)

31 août 2011 à 12h19
0
Orange confirme avoir été touché par une attaque contre sa boutique en ligne. L'injection SQL a été revendiquée par un hacker connu sous le pseudonyme HiddenTapz. Dans ses explications, ce dernier précise qu'il pourrait ne pas dévoiler les détails des failles de sécurité utilisées.

00FA000003947972-photo-logo-o-range.jpg
Dans la journée de vendredi, plusieurs informations ont fait état d'un piratage des informations appartenant à la boutique en ligne Orange.fr. Un hacker a été capable de récupérer de nombreuses bases de données appartenant à l'opérateur (AFFILIATION, BDS, CLIENT, Commande...). Les détails de l'attaque ont même été publiés sur le site de partage Pastebin.

Interrogé par le site Zataz, HiddenTapz confirme : « J'ai voulu prouver qu'il y avait des injections de SQL menaçant Orange, ainsi que l'AFAI. Je veux juste dire que je n'ai jamais exploité ces iSQL (...) Je divulgue ces informations afin d'aider à la sécurisation ». Il précise également ne pas être en phase avec les actions des Anonymous (n'agissant pas de manière « juste », selon ses propos). « Ma motivation est de montrer que le monde digital n'est pas sécurisé, malheureusement », souligne le hacker.

Concrètement, il indique avoir exploité une faille de sécurité en relation avec des bases de données. En injectant une requête SQL non prévue par le système, il a donc été en mesure de collecter les informations appartenant à l'opérateur. Par contre, même si certains détails concernant l'attaque sont désormais connus, HiddenTapz a précisé qu'il ne communiquerait la faille aux services de l'opérateur qu'en fonction de la réaction d'Orange.

De son côté, la firme a confirmé sur Twitter avoir été victime d'une attaque. L'opérateur explique : « La boutique en ligne du site orange.fr a été la cible d'un pirate informatique, ce qui nous a conduit à arrêter dès vendredi soir le service concerné, le temps de s'assurer que l'ensemble des données informatiques sont protégées. La réouverture du service est prévue dans le courant de la journée d'aujourd'hui. Nous poursuivons nos investigations sur les conséquences éventuelles de cette intrusion informatique ».

Reste donc à savoir si les services d'Orange et HiddenTapz décideront de partager leurs connaissances. Selon plusieurs informations, le hacker aurait utilisé un logiciel iranien capable de sonder les bases de données d'un serveur insuffisamment sécurisé.

Mise à jour : Dans un message publié sur Twitter, Orange annonce que sa boutique en ligne est de nouveau fonctionnelle. L'opérateur précise que « les investigations techniques menées à ce jour démontrent qu'aucune donnée client n'a été dérobée ». Par contre, Orange ne donne pas d'explications sur la vulnérabilité utilisée par le hacker ni si ce dernier a aidé à colmater les failles du site.

Version initiale de l'article publiée le 29/08/2011 à 12h52
Modifié le 01/06/2018 à 15h36
Sélection Clubic VPN 2019

Les actualités récentes les plus commentées

La Tesla Model 3 perd les faveurs de l'Europe, qui lui préfère la future Renault ZOE 2
Netflix augmente ses tarifs en France dès aujourd'hui
Bill Gates considère que
Un outil destiné aux forces de l'ordre capable de déverrouiller quasiment tous les smartphones
Sommet européen des 20 et 21 juin : objectif zéro émission de gaz à effet de serre d'ici 2050 ?
Une pétition demande à Netflix de déprogrammer Good Omens... une série produite par Amazon
Le Raspberry Pi 4 est là : trois configurations jusqu'à 4 Go de RAM (et un kit desktop)
Le Bitcoin continue sa course folle et dépasse les 10 000$
AMD : le Ryzen 7 3800X mettrait à mal les Core i9-9900K d'Intel sur GeekBench
La mémoire informatique universelle pourrait révolutionner la consommation des data centers
scroll top