Fuite de données UMP : selon les hackers, « aucun site institutionnel n'a été attaqué »

01 juin 2018 à 15h36
0
Un groupe de hackers revendique le fait d'avoir rassemblé des informations appartenant à des députés, sénateurs et collaborateurs UMP. Dans un communiqué publié sur Pastebin, ils expliquent qu'aucun site institutionnel n'a été visé. Par contre, ils ont utilisé une faille SQL qualifiée de flagrante sur une société d'hébergement.

00FA000003052790-photo-disque-dur-perte-de-donn-es.jpg
Dans un communiqué, un groupe de hackers revendique le fait d'être parvenu à collecter les adresses e-mail, numéros de téléphone (portables) mais également la situation maritale de la plupart des élus et collaborateurs UMP. Ils précisent qu'aucun site « institutionnel n'a été attaqué, ni même visé. » En revanche, ils ont utilisé une faille SQL découverte dans les services de la société d'hébergement et de création de sites mes-conseils.fr.

Précisément, l'utilisation de cette faille a été possible grâce à un « Google dork » c'est-à-dire qu'ils ont été en mesure de savoir quels sites étaient affectés par cette faille de sécurité en utilisant simplement le moteur de recherche Google. Il est en effet possible de trouver, grâce à certaines requêtes (par exemple : Index of/) des mots de passe permettant d'accéder à une console d'administration.

Ils ont ensuite été capable d'obtenir des mots de plus de « 30 sites personnels de personnalités de l'UMP. L'exploitation de cette faille nous a mené à plus de 160 bases de données, dont la plupart étaient directement liées avec l'UMP. Dans ces bases de données, il y avait des centaines (milliers?) de mails, les identifiants confidentiels de ces députés pour se connecter à des extra/intranets, certains identifiants confidentiels permettant de se connecter au portail privé de l'Assemblée nationale » précise le groupe. Depuis, de nombreux sites d'élus de la majorité sont indisponibles tout comme le portail mes-conseils.fr.

Les hackers expliquent également leurs motivations en invitant le gouvernement à réfléchir à l'importance des données publiées mais également au manque de sécurité. Ils s'interrogent sur le fait que « ce webmaster laisse quasi-ouvert son serveur MySql, utilise le même mot de passe PARTOUT, et semble très peu regardant quant à la sécurité des données qu'il héberge ». Ils demandent pourquoi « certains députés confient à ce webmaster privé leurs identifiants officiels ».

Enfin, comme nous l'expliquions, ils mettent en lumière le risque de fuites dues à un fichage informatique dans le cadre de l'introduction de la nouvelle carte d'identité biométrique. En attendant que cette opération trouve un écho, le groupe tient à ajouter qu'ils n'ont rien sauvegardé et qu'ils ne republieront pas les informations collectées.

015E000004740308-photo-sans-titre-1.jpg
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Polaroid Z340 : l'appareil photo instantané numérique et rétro à la fois
Orange Mobicarte : plus de crédit, validité revue et nouveaux
Neteven se lance dans la délégation d'e-commerce sur les places de marché
Résultats Iliad : 73 000 nouveaux abonnés sur le trimestre
Sat2Way Tooway : l'Internet par satellite devient illimité (màj)
Alimentation de 850 W pour le multi-GPU chez Corsair
De Facebook... à Sexebook, réseau social coquin ?
Netflix perdra Starz fin février 2012
Test Internet Explorer 8 : le dernier IE avant la refonte
Test Internet Explorer 9 : un navigateur en net progrès
Haut de page