L’extranet de l’UMP mis à mal par un internaute bidouilleur

0
86

Des fuites publiques indexées dans les moteurs de recherche, des espace administratifs non sécurisés, défauts de configuration, absence de chiffrement, authentification inefficace et listing des répertoires privés autorisé. Autant dire que les révélations font mal pour l’UMP !

C’est Bluetouff qui a publié l’alerte plutôt ironique sur le site Reflets.info. Ce n’est pas la première fois que cela se produit sur le site de l’UMP. Une précédente fuite de données avait déjà créée un buzz sur le Net il y a quelques mois.

L’agence de communication derrière tout ça semble être ARTKOM. Et visiblement, la sécurité n’est pas un point central dans le projet. Il y a même d’immenses lacunes…

Commençons par l’accès à l’administration. Pas de chiffrement (HTTPS, SLL) sur l’espace privé.

On continue avec un beau bypass de l’authentification via la possibilité de réaliser un “directory listing” sur tous les sous répertoires qui composent l’administration ! A quoi sert la page d’authentification dans ce cas ?

Et on fini en beauté avec le pire de tout, l’upload de fichiers sur le serveur Web du site ! Merci à Bluetouff pour cette image que l’on peut qualifier de “epic fail” ! Le lien a été fait avec Megaupload de façon ironique.

De nombreuses personnes semblent avoir utilisé la faille pour uploader de nombreux fichiers (dont des scripts PHP). Le site à été modifié pendant quelque temps pour finir par fermé. Vous pouvez aller voir par vous-même en ce moment, le site ump-senat.fr indique une belle erreur 403 Forbidden !

Si vous voulez plus de détails, allez jeter un œil sur les commentaires de l’article original sur Reflets.info, ça vaut le détour.