« La caricature avant la réalité | Accueil | Koz sur le sacre de Sarkozy »

16 janvier 2007

Commentaires

Jacques Afam

Assez incroyable...
L'UMP ne joue la transarence que pour une chose : les coordonnées de ses sympathisants (ou des curieux qui ont le fatal réflexe de s'inscrire)

Quant à l'article du Monde, il oublie de signaler que l'article du Canard Enchainé concernait le fait que fin de l'année dernière il n'y avait qu'un peu plus de 120.000 militants en ordre de cotisation... où donc se trouvaient les 220.000 manquants ?
Le Monde l'oublie parce qu'à chaque fois que Le Monde a évoqué le nombre de militants dans le cadre du vote de la primaire UMP, il a cité un chiffre aux alentours des 330.000 sans jamais reprendre l'information du Canard !

Acidtest

La deuxième faille sécuritaire, c'est de le dire, surtout que le mot de passe est valable ailleurs (mail yahoo, hotmail...) ;-)

pvdg

"…et un mot de passe que j'utilise déjà sur plusieurs autres sites."

Ah ben c'est sûr que si tu balances cette info… Tu voudrais pas non plus nous donner la liste de ces sites ? À commencer par celui de ta banque ;-?

jeanjack

@Jacques Afam

Ouin mais ce que le canard oublie de dire c'est que c'est lui qui suppose que c'était un fichier reprenant l'ensemble des militants, et qu'il est plus plausible que ça soit un tirage de la base de donnée des gens inscrits par internet, ou encore les abonnés à la newsletter

Et ce que tu oublie, c'est aussi que la sécurité du site du PS était aussi mise en cause, de même que l'intranet qui comptabilise les adhérents et les votes.


Faut se faire une raison, la sécurité est le parent pauvre de l'informatique en général, des sites web en particulier.
Les partis politiques engagent des branquinioles, qui sont forts pour le marketing, pour présenter l'aspect révolutionnaire des sites. Mais la sécurité, la propreté du code, etc etc...

Je serais pas étonné que les sites des partis soient bientôt la cible d'attaques de pirates (ou de scripts kiddies) venant soit de militants particulièrement remonté, soit de groupes étrangers cherchant la cible visible et médiatique (je citerai des groupes turc qui jouent à défacer des milliers de sites pour des motifs tels que le génocide arménien, la turquie dans l'ue, le voile, le fun ).

Je sens qu'on va bien rigoler

Jacques Afam

La différence entre le PS et l'UMP c'est que dans le cas du PS c'est d'un véritable piratage dont il s'était agit alors qu'à l'UMP il avait suffit d'appeler une page "cachée" de "l'admin"
citation du blog LeMondeInformatique
http://blog2.lemondeinformatique.fr/management_du_si/2006/12/sarkofaille_et_.html
Selon le Canard Enchainé, en récupérant le fichier des adhérents de l'UMP, on ne retrouve que 125 953 adhérents dont un certain nombre de Nicolas Sarkozy, nom très usuel en France comme chacun sait, contre 300 000 adhérents revendiqués. J'ai vérifié aujourd'hui que l'interrogation de l'URL /admin ne fonctionnait plus alors que le Canard indique avoir réalisé un test (positif) d'intrusion la semaine dernière.
Côté PS, les informations du Canard datent de fin 2005 et ne semblent plus être d'actualité. Selon le palmipède, un piratage de Rosam, le SI socialiste, permettait de dénombrer 133 831 adhérents fin 2005 (contre 150 000 revendiqués à l'époque)."

SM

Bien fait.

Christie

ah ah, 'reusement, celui de la banque c'est plus compliqué que les mots de passe ordinaires..

Ne vous excitez pas trop les mecs, un mot de passe, ça se change en 2 minutes.

palpatine

A priori, c'est juste la modification du mot de passe qui est possible, pas la récupération. Pour ce que j'en comprends : on a accès à la page de données personnelles à travers en théorie une page de login, où l'on entre son login et mot de passe. Sauf qu'en fait, on pouvait y accéder en tapant directement l'url (genre un truc php "?login=toto" etc), et donc la vérification d'ouverture de session est tout simplement bien trouée. De telle sorte que l'on peut récupérer les données perso, mais ça ne renvoie pas le mot de passe sur la page en question, on dispose juste d'un champ permettant de le modifier (genre "rentrez le mot de passe deux fois", et hop, l'affaire est dans le sac, inutile de remettre l'ancien, puisqu'on est censé s'être légalement loggué).

Bref, on peut s'amuser à changer le nom des inscrits (et autres infos), et à rendre leur login inaccessible (en mettant un mot de passe pourri de manière automatisée). C'est drôle sans être dangereux, en somme :D.

versac

acidtest : non, c'est un mot de passe valable uniquement en couple avec un login, comme incription sur des sites, pas lié à mes adresses email.

jeanjack : juste. Ca fait un peu peur, quand même, parfois, ce niveau de branlitude.

SM : bah, je suis inscrit partout, à toutes les newsletters, à but de veille.

SM

Mais je sais bien, mon grand ;o)

jean

Il ne serait inutile de vérifier auprès dela cnil si le site est correctement déclaré

L'utilisation des commentaires est désactivée pour cette note.