Depuis que le site Zataz a annoncé le “défaçage” du site de Marine Le Pen, le domaine redirige maintenant vers le site du Front National. Cependant, le mal a été fait et UnderNews a décidé aujourd’hui, à la vue des circonstances, de révéler les dessous de ce piratage en règle.
Nous le disons haut et fort : le défacement du site est loin d’être la seule chose pénalisante dans cette affaire. Zataz et d’autres sites qui relatent ce hack parlent tous de cette page qui a été déposée par le pirate Marocain, Kader11000 (inconnu au bataillon soit dit en passant) sur le site de la présidente du Front National. Le lendemain, alors que le site avait été remis en place, le pirate récidive et place cette fois-ci une redirection vers la page “racisme” de Wikipedia après avoir affiché un image montrant des poneys roses.
Au moment où j’écris cet article, le nom de domaine www.marinelepen.com redirige vers le site officiel du Front National. On peut supposer que le site a été coupé en catastrophe après l’intrusion… Parlons de cette intrusion justement. La plupart des personnes s’y étant intéressé n’ont vu que le côté immergé de l’iceberg… Explications.
Le site de Marine Le Pen était basé sur le CMS bien connu Joomla!. Or, il contenait un plugin faillible. Le pirate a vraisemblablement utilisé une attaque de type Blind SQL Injection (SQL injection à l’aveugle) pour s’emparer des mots de passe administrateurs.
Lors du hack, le site était hébergé chez Celeonet. Si vous suivez attentivement l’actualité sécurité informatique quotidiennement, vous avez pu constater que la société en question a été victime d’une intrusion qui a aboutie à une fuite d’informations (le fichier “/etc/passwd” a été volé). Tout est expliqué sur le blog de Celeonet pour ceux voulant en savoir plus. Le pirate est donc entré sur le serveur (sur le cluster où était hébergé le site marinelepen.com plus précisément) et semble s’être librement baladé dans celui-ci.
Alors réfléchissons deux minutes. Si le hacker a eu accès au serveur, se serait-il contenté de changer la page d’accueil du site ? Surement pas. Ce n’était qu’une sorte de diversion. Pendant ce temps, il s’est surement occupé de choses plus intéressantes, les bases de données par exemple…
Pourquoi UnderNews affirme cela ? C’est simple, nous avons pu le voir de nos propres yeux. Le site sur lequel se trouvait la faille contenait un portail dédié au “comité de soutient”. Les internautes voulant y adhérer pouvaient le faire via un simple formulaire et les données étaient enregistrées dans une des bases de données.
Des bases ? Oui vous avez bien entendu. Voici venu le temps des révélations.
- information_schema
- marinelepen_comitesoutien
- marinelepen_cartefrance
- marinelepen_euro
- marine_legislatives
- marinelepen_main
- marinelepen_mcaregions
Voici la liste des bases de données rattachées au site de Marine Le Pen. On remarque à la vue des noms, que le site www.marinelepen.com n’a pas été le seul touché. Les autres bases de données appartiennent visiblement à d’autres sites dédiés à la présidente du Front National (bien que cela n’ai pas été vérifié par UnderNews) comme par exemple www.marinelepeneurope.eu.
Intéressons nous aux informations communiquées par le pirate maintenant ! Voici pour commencer, les tables présentes dans la base de données “marinelepen_comitesoutien” ainsi que quelques colonnes :
jos_facileforms_scr | |
jos_facileforms_records | |
jos_facileforms_pieces | |
jos_facileforms_packages | |
jos_facileforms_forms | |
jos_facileforms_elements | |
jos_facileforms_config | |
jos_facileforms_compmenus | |
jos_em_header | |
jos_em_cat | |
jos_downloads_text | |
jos_downloads_structure | |
jos_downloads_reviews | |
jos_downloads_repository | |
jos_downloads_log | |
jos_downloads_files | |
jos_downloads_file_classify | |
jos_downloads_containers | |
jos_downloads_classify | |
jos_downloads_blob | |
jos_core_log_searches | |
jos_core_log_items | |
jos_core_acl_groups_aro_map | |
jos_core_acl_aro_sections | |
jos_core_acl_aro_map | |
jos_core_acl_aro_groups | |
jos_core_acl_aro | |
jos_content_rating | |
jos_content_frontpage | |
jos_content_extravote | |
jos_content | |
jos_contact_details | webpage mobile access catid user_id params ordering checked_out_time checked_out published default_con email_to imagepos image misc fax telephone postcode country state suburb address con_position alias name id |
jos_components | |
jos_chrono_contact_plugins | |
jos_chrono_contact_emails | template params enabled dfromemail fromemail dfromname fromname dbcc bcc dcc cc dsubject subject dto to formid emailid |
jos_chrono_contact | extra5 extra4 extra3 extra2 extra1 published autogenerated dbclasses titlesall paramsall useremailtemplate emailtemplate submiturl attformtag server_validation onsubmitcodeb4 onsubmitcode fieldstypes fieldsnames emailresults redirecturl scriptcode html name id |
jos_categories | |
jos_captcha_session | |
jos_bannertrack | |
jos_bannerclient | |
jos_banner | |
jos_attachments | |
jos_assignments | |
jos_art_resourcebox | |
jos_art_reason | |
jos_art_emailtmpl | |
jos_art_cbfields | |
jos_art_articles_ref | |
jos_BcaRssSyndicator_feeds | |
jos_BcaRssSyndicator |
Idem pour la base de données “marinelepen_main” :
vacancy_branch | |
system_users | user_last_visit user_last_ip user_state user_description user_email user_password user_login user_name user_group user_id |
system_user_groups | |
system_rights | |
system_options | |
system_option_groups | |
system_modules | |
system_logs | |
seo | |
photos | |
pages | |
news | |
menu | |
lacampagne | |
employers | regdate date_update kor_count bik name_city_bank accounting_count kpp inn post_addr ur_addr descr short_descr photo www name user_id id |
emails | mail_state mail_address mail_id |
docs | |
communiques | |
banners | |
audio | |
actualites |
Et que voit-on ? Des données personnelles ! Une table “employers” qui semble contenir des identités et une table “emails” notamment.
La encore, la générosité était là, une fuite avec près de 500 mails (d’adhérents vraisemblablement) :
Bon, on va s’arrêter là. Ça devrait suffire pour ouvrir les yeux aux personnes croyant qu’un simple hack d’un site d’un partit politique serait sans conséquence… CQFD. Bien entendu, le FN n’est pas le seul partit visé et vulnérable (voir le hack tout récent d’un blog de l’UMP par exemple). Des cyber-attaques qui ne passeront pas inaperçues avant les élections présidentielles de 2012…
Quand est-ce que les sites (officiels qui plus est) seront sécurisés correctement ? Afin que les données de leurs adhérents soient protégées ? Il serait plus que temps de s’y mettre ! Dommage que nous ne sachions pas qui est le créateur de ce site car il a visiblement du mouron à se faire.
Par contre la question que je me pose: est ce que les informations des autres clients sur le même serveur a été diffusé (base de données MYSQL)? Une idée sur la question?
D’après l’hébergeur, non. D’après le pirate, oui ^^
Par contre rien n’a été diffusé (à part le fichier /etc/passwd comme précisé).
Très bon article ! Cependant, ne doit-on pas dire ”Dommage que nous ne sachions pas” ? (dernière ligne)
Salut !
Hmm dans le doute, je t’écoute 🙂
Merci pour le com.
Les commentaires sont fermés.