Faille sécuritaire

Merde. Je me suis inscrit sur sarkozy.fr, et j'ai laissé, parce que c'est obligatoire (une inscription où l'on vous demande de manière obligatoire votre téléphone portable, votre date de naissance, votre adresse physique, pour pouvoir ... pas faire grand chose!!), l'ensemble de mes données personnelles (voulant tester les utilisations de la chose, j'ai mis mes vraies adresses, numéro, etc...) et un mot de passe que j'utilise déjà sur plusieurs autres sites.

Je n'avais pas idée qu'un petit malin pourrait y accéder comme ça.

Commentaires

Assez incroyable...
L'UMP ne joue la transarence que pour une chose : les coordonnées de ses sympathisants (ou des curieux qui ont le fatal réflexe de s'inscrire)

Quant à l'article du Monde, il oublie de signaler que l'article du Canard Enchainé concernait le fait que fin de l'année dernière il n'y avait qu'un peu plus de 120.000 militants en ordre de cotisation... où donc se trouvaient les 220.000 manquants ?
Le Monde l'oublie parce qu'à chaque fois que Le Monde a évoqué le nombre de militants dans le cadre du vote de la primaire UMP, il a cité un chiffre aux alentours des 330.000 sans jamais reprendre l'information du Canard !

Rédigé par: Jacques Afam | 16 janvier 2007 at 12:40

La deuxième faille sécuritaire, c'est de le dire, surtout que le mot de passe est valable ailleurs (mail yahoo, hotmail...) ;-)

Rédigé par: Acidtest | 16 janvier 2007 at 13:02

"…et un mot de passe que j'utilise déjà sur plusieurs autres sites."

Ah ben c'est sûr que si tu balances cette info… Tu voudrais pas non plus nous donner la liste de ces sites ? À commencer par celui de ta banque ;-?

Rédigé par: pvdg | 16 janvier 2007 at 13:09

@Jacques Afam

Ouin mais ce que le canard oublie de dire c'est que c'est lui qui suppose que c'était un fichier reprenant l'ensemble des militants, et qu'il est plus plausible que ça soit un tirage de la base de donnée des gens inscrits par internet, ou encore les abonnés à la newsletter

Et ce que tu oublie, c'est aussi que la sécurité du site du PS était aussi mise en cause, de même que l'intranet qui comptabilise les adhérents et les votes.

Faut se faire une raison, la sécurité est le parent pauvre de l'informatique en général, des sites web en particulier.
Les partis politiques engagent des branquinioles, qui sont forts pour le marketing, pour présenter l'aspect révolutionnaire des sites. Mais la sécurité, la propreté du code, etc etc...

Je serais pas étonné que les sites des partis soient bientôt la cible d'attaques de pirates (ou de scripts kiddies) venant soit de militants particulièrement remonté, soit de groupes étrangers cherchant la cible visible et médiatique (je citerai des groupes turc qui jouent à défacer des milliers de sites pour des motifs tels que le génocide arménien, la turquie dans l'ue, le voile, le fun ).

Je sens qu'on va bien rigoler

Rédigé par: jeanjack | 16 janvier 2007 at 13:09

La différence entre le PS et l'UMP c'est que dans le cas du PS c'est d'un véritable piratage dont il s'était agit alors qu'à l'UMP il avait suffit d'appeler une page "cachée" de "l'admin"
citation du blog LeMondeInformatique
http://blog2.lemondeinformatique.fr/management_du_si/2006/12/sarkofaille_et_.html
Selon le Canard Enchainé, en récupérant le fichier des adhérents de l'UMP, on ne retrouve que 125 953 adhérents dont un certain nombre de Nicolas Sarkozy, nom très usuel en France comme chacun sait, contre 300 000 adhérents revendiqués. J'ai vérifié aujourd'hui que l'interrogation de l'URL /admin ne fonctionnait plus alors que le Canard indique avoir réalisé un test (positif) d'intrusion la semaine dernière.
Côté PS, les informations du Canard datent de fin 2005 et ne semblent plus être d'actualité. Selon le palmipède, un piratage de Rosam, le SI socialiste, permettait de dénombrer 133 831 adhérents fin 2005 (contre 150 000 revendiqués à l'époque)."

Rédigé par: Jacques Afam | 16 janvier 2007 at 14:26

Bien fait.

Rédigé par: SM | 16 janvier 2007 at 14:26

ah ah, 'reusement, celui de la banque c'est plus compliqué que les mots de passe ordinaires..

Ne vous excitez pas trop les mecs, un mot de passe, ça se change en 2 minutes.

Rédigé par: Christie | 16 janvier 2007 at 14:42

A priori, c'est juste la modification du mot de passe qui est possible, pas la récupération. Pour ce que j'en comprends : on a accès à la page de données personnelles à travers en théorie une page de login, où l'on entre son login et mot de passe. Sauf qu'en fait, on pouvait y accéder en tapant directement l'url (genre un truc php "?login=toto" etc), et donc la vérification d'ouverture de session est tout simplement bien trouée. De telle sorte que l'on peut récupérer les données perso, mais ça ne renvoie pas le mot de passe sur la page en question, on dispose juste d'un champ permettant de le modifier (genre "rentrez le mot de passe deux fois", et hop, l'affaire est dans le sac, inutile de remettre l'ancien, puisqu'on est censé s'être légalement loggué).

Bref, on peut s'amuser à changer le nom des inscrits (et autres infos), et à rendre leur login inaccessible (en mettant un mot de passe pourri de manière automatisée). C'est drôle sans être dangereux, en somme :D.

Rédigé par: palpatine | 16 janvier 2007 at 15:38

acidtest : non, c'est un mot de passe valable uniquement en couple avec un login, comme incription sur des sites, pas lié à mes adresses email.

jeanjack : juste. Ca fait un peu peur, quand même, parfois, ce niveau de branlitude.

SM : bah, je suis inscrit partout, à toutes les newsletters, à but de veille.

Rédigé par: versac | 16 janvier 2007 at 16:36

Mais je sais bien, mon grand ;o)

Rédigé par: SM | 16 janvier 2007 at 20:08

Il ne serait inutile de vérifier auprès dela cnil si le site est correctement déclaré

Rédigé par: jean | 16 janvier 2007 at 21:32