Piratage de marinelepen.com : Analyses et révélations exclusives sur ce qui a été caché

4
87

Depuis que le site Zataz a annoncé le “défaçage” du site de Marine Le Pen, le domaine redirige maintenant vers le site du Front National. Cependant, le mal a été fait et UnderNews a décidé aujourd’hui, à la vue des circonstances, de révéler les dessous de ce piratage en règle.

Nous le disons haut et fort : le défacement du site est loin d’être la seule chose pénalisante dans cette affaire. Zataz et d’autres sites qui relatent ce hack parlent tous de cette page qui a été déposée par le pirate Marocain, Kader11000 (inconnu au bataillon soit dit en passant) sur le site de la présidente du Front National. Le lendemain, alors que le site avait été remis en place, le pirate récidive et place cette fois-ci une redirection vers la page “racisme” de Wikipedia après avoir affiché un image montrant des poneys roses.

Au moment où j’écris cet article, le nom de domaine www.marinelepen.com redirige vers le site officiel du Front National. On peut supposer que le site a été coupé en catastrophe après l’intrusion… Parlons de cette intrusion justement. La plupart des personnes s’y étant intéressé n’ont vu que le côté immergé de l’iceberg… Explications.

Le site de Marine Le Pen était basé sur le CMS bien connu Joomla!. Or, il contenait un plugin faillible. Le pirate a vraisemblablement utilisé une attaque de type Blind SQL Injection (SQL injection à l’aveugle) pour s’emparer des mots de passe administrateurs.

Lors du hack, le site était hébergé chez Celeonet. Si vous suivez attentivement l’actualité sécurité informatique quotidiennement, vous avez pu constater que la société en question a été victime d’une intrusion qui a aboutie à une fuite d’informations (le fichier “/etc/passwd” a été volé). Tout est expliqué sur le blog de Celeonet pour ceux voulant en savoir plus. Le pirate est donc entré sur le serveur (sur le cluster où était hébergé le site marinelepen.com plus précisément) et semble s’être librement baladé dans celui-ci.

Alors réfléchissons deux minutes. Si le hacker a eu accès au serveur, se serait-il contenté de changer la page d’accueil du site ? Surement pas. Ce n’était qu’une sorte de diversion. Pendant ce temps, il s’est surement occupé de choses plus intéressantes, les bases de données par exemple…

Pourquoi UnderNews affirme cela ? C’est simple, nous avons pu le voir de nos propres yeux. Le site sur lequel se trouvait la faille contenait un portail dédié au “comité de soutient”. Les internautes voulant y adhérer pouvaient le faire via un simple formulaire et les données étaient enregistrées dans une des bases de données.

Des bases ? Oui vous avez bien entendu. Voici venu le temps des révélations.

  • information_schema
  • marinelepen_comitesoutien
  • marinelepen_cartefrance
  • marinelepen_euro
  • marine_legislatives
  • marinelepen_main
  • marinelepen_mcaregions

Voici la liste des bases de données rattachées au site de Marine Le Pen. On remarque à la vue des noms, que le site www.marinelepen.com n’a pas été le seul touché. Les autres bases de données appartiennent visiblement à d’autres sites dédiés à la présidente du Front National (bien que cela n’ai pas été vérifié par UnderNews) comme par exemple www.marinelepeneurope.eu.

Intéressons nous aux informations communiquées par le pirate maintenant ! Voici pour commencer, les tables présentes dans la base de données “marinelepen_comitesoutien” ainsi que quelques colonnes :

jos_facileforms_scr
jos_facileforms_records
jos_facileforms_pieces
jos_facileforms_packages
jos_facileforms_forms
jos_facileforms_elements
jos_facileforms_config
jos_facileforms_compmenus
jos_em_header
jos_em_cat
jos_downloads_text
jos_downloads_structure
jos_downloads_reviews
jos_downloads_repository
jos_downloads_log
jos_downloads_files
jos_downloads_file_classify
jos_downloads_containers
jos_downloads_classify
jos_downloads_blob
jos_core_log_searches
jos_core_log_items
jos_core_acl_groups_aro_map
jos_core_acl_aro_sections
jos_core_acl_aro_map
jos_core_acl_aro_groups
jos_core_acl_aro
jos_content_rating
jos_content_frontpage
jos_content_extravote
jos_content
jos_contact_details webpage mobile access catid user_id params ordering checked_out_time checked_out published default_con email_to imagepos image misc fax telephone postcode country state suburb address con_position alias name id
jos_components
jos_chrono_contact_plugins
jos_chrono_contact_emails template params enabled dfromemail fromemail dfromname fromname dbcc bcc dcc cc dsubject subject dto to formid emailid
jos_chrono_contact extra5 extra4 extra3 extra2 extra1 published autogenerated dbclasses titlesall paramsall useremailtemplate emailtemplate submiturl attformtag server_validation onsubmitcodeb4 onsubmitcode fieldstypes fieldsnames emailresults redirecturl scriptcode html name id
jos_categories
jos_captcha_session
jos_bannertrack
jos_bannerclient
jos_banner
jos_attachments
jos_assignments
jos_art_resourcebox
jos_art_reason
jos_art_emailtmpl
jos_art_cbfields
jos_art_articles_ref
jos_BcaRssSyndicator_feeds
jos_BcaRssSyndicator

Idem pour la base de données “marinelepen_main” :

vacancy_branch
system_users user_last_visit user_last_ip user_state user_description user_email user_password user_login user_name user_group user_id
system_user_groups
system_rights
system_options
system_option_groups
system_modules
system_logs
seo
photos
pages
news
menu
lacampagne
employers regdate date_update kor_count bik name_city_bank accounting_count kpp inn post_addr ur_addr descr short_descr photo www name user_id id
emails mail_state mail_address mail_id
docs
communiques
banners
audio
actualites

Et que voit-on ? Des données personnelles ! Une table “employers” qui semble contenir des identités et une table “emails” notamment.

La encore, la générosité était là, une fuite avec près de 500 mails (d’adhérents vraisemblablement)  :

Bon, on va s’arrêter là. Ça devrait suffire pour ouvrir les yeux aux personnes croyant qu’un simple hack d’un site d’un partit politique serait sans conséquence… CQFD. Bien entendu, le FN n’est pas le seul partit visé et vulnérable (voir le hack tout récent d’un blog de l’UMP par exemple). Des cyber-attaques qui ne passeront pas inaperçues avant les élections présidentielles de 2012…

Quand est-ce que les sites (officiels qui plus est) seront sécurisés correctement ? Afin que les données de leurs adhérents soient protégées ? Il serait plus que temps de s’y mettre ! Dommage que nous ne sachions pas qui est le créateur de ce site car il a visiblement du mouron à se faire.

4 Commentaires

  1. Par contre la question que je me pose: est ce que les informations des autres clients sur le même serveur a été diffusé (base de données MYSQL)? Une idée sur la question?

    • D’après l’hébergeur, non. D’après le pirate, oui ^^
      Par contre rien n’a été diffusé (à part le fichier /etc/passwd comme précisé).

  2. Très bon article ! Cependant, ne doit-on pas dire ”Dommage que nous ne sachions pas” ? (dernière ligne)

Les commentaires sont fermés.