La boutique Orange.fr confirme avoir été la cible d'un hack (màj)

31 août 2011 à 12h19
0
Orange confirme avoir été touché par une attaque contre sa boutique en ligne. L'injection SQL a été revendiquée par un hacker connu sous le pseudonyme HiddenTapz. Dans ses explications, ce dernier précise qu'il pourrait ne pas dévoiler les détails des failles de sécurité utilisées.

00FA000003947972-photo-logo-o-range.jpg
Dans la journée de vendredi, plusieurs informations ont fait état d'un piratage des informations appartenant à la boutique en ligne Orange.fr. Un hacker a été capable de récupérer de nombreuses bases de données appartenant à l'opérateur (AFFILIATION, BDS, CLIENT, Commande...). Les détails de l'attaque ont même été publiés sur le site de partage Pastebin.

Interrogé par le site Zataz, HiddenTapz confirme : « J'ai voulu prouver qu'il y avait des injections de SQL menaçant Orange, ainsi que l'AFAI. Je veux juste dire que je n'ai jamais exploité ces iSQL (...) Je divulgue ces informations afin d'aider à la sécurisation ». Il précise également ne pas être en phase avec les actions des Anonymous (n'agissant pas de manière « juste », selon ses propos). « Ma motivation est de montrer que le monde digital n'est pas sécurisé, malheureusement », souligne le hacker.

Concrètement, il indique avoir exploité une faille de sécurité en relation avec des bases de données. En injectant une requête SQL non prévue par le système, il a donc été en mesure de collecter les informations appartenant à l'opérateur. Par contre, même si certains détails concernant l'attaque sont désormais connus, HiddenTapz a précisé qu'il ne communiquerait la faille aux services de l'opérateur qu'en fonction de la réaction d'Orange.

De son côté, la firme a confirmé sur Twitter avoir été victime d'une attaque. L'opérateur explique : « La boutique en ligne du site orange.fr a été la cible d'un pirate informatique, ce qui nous a conduit à arrêter dès vendredi soir le service concerné, le temps de s'assurer que l'ensemble des données informatiques sont protégées. La réouverture du service est prévue dans le courant de la journée d'aujourd'hui. Nous poursuivons nos investigations sur les conséquences éventuelles de cette intrusion informatique ».

Reste donc à savoir si les services d'Orange et HiddenTapz décideront de partager leurs connaissances. Selon plusieurs informations, le hacker aurait utilisé un logiciel iranien capable de sonder les bases de données d'un serveur insuffisamment sécurisé.

Mise à jour : Dans un message publié sur Twitter, Orange annonce que sa boutique en ligne est de nouveau fonctionnelle. L'opérateur précise que « les investigations techniques menées à ce jour démontrent qu'aucune donnée client n'a été dérobée ». Par contre, Orange ne donne pas d'explications sur la vulnérabilité utilisée par le hacker ni si ce dernier a aidé à colmater les failles du site.

Version initiale de l'article publiée le 29/08/2011 à 12h52
Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Les actualités récentes les plus commentées

Barbara Pompili, ministre de la transition écologique, qualifie le réacteur EPR de
AMD : fleuron de la future cuvée Zen 3, le Ryzen 9 4950X pourrait monter à 4,8 GHz
Donald Trump sanctionné par Twitter et Facebook, pour une vidéo qualifiée de
La capitalisation boursière d'Apple dépasse celle de toutes les entreprises du CAC40 réunies
Projet ATTOL : Airbus fait rouler, décoller et atterrir un avion commercial de façon autonome
La version chinoise de la Tesla Model 3 remporte le prix de la qualité de fabrication
La Chine menace les Etats-Unis en cas de vente forcée de TikTok
Elon Musk envisage la construction d'un Cybertruck plus petit pour l'Europe
TikTok et maintenant WeChat : les USA veulent
Clean Network, le projet des États-Unis pour préparer leur avenir technologique sans les Chinois
scroll top