Pirater un site web est à la portée de tout le monde !

Publié le 25 juillet 2009 par Guy Deridet
La sécurité sur Internet est un leurre. 5 millions d'adresses mails qui trainent ici... 400 000 comptes personnels d'usagers là... Les exemples d'intrusions malveillantes et de vols de données personnelles se multiplient. Il apparaît même que pénétrer dans le site web de sociétés importantes et de dérober des données sensibles est à la portée du premier venu. Finalement, comme le prouve le magazine Capital dans son dernier numéro, « Pirater un site Web d'entreprise » est bien « un jeu d'enfant ! » La sécurité sur Internet est un leurre. 5 millions d'adresses mails qui trainent ici... 400 000 comptes personnels d'usagers là... Les exemples d'intrusions malveillantes et de vols de données personnelles se multiplient. Il apparaît même que pénétrer dans le site web de sociétés importantes et de dérober des données sensibles est à la portée du premier venu. Finalement, comme le prouve le magazine Capital dans son dernier numéro, « Pirater un site Web d'entreprise » est bien « un jeu d'enfant ! »

On le sait depuis longtemps maintenant et les spécialistes de la sécurité informatique nous le rabâchent assez, Internet n'est pas un lieu sûr ! Il faut faire attention, ne pas y dévoiler toute sa vie et toujours garder un peu de méfiance. Et malgré cela, tous les internautes sont susceptibles de se faire piéger. Que faire face à l'imagination des hackers : phishing, virus espions... ? Mais cela ne s'arrête malheureusement pas là ! Pour un pirate, s'attaquer à une entreprise peut être bien plus lucratif. En effet, les sociétés sont propriétaires de fichiers clients que les pirates peuvent revendre à prix d'or à la concurrence par exemple. Elles ont également des fichiers complets avec des données personnelles sensibles, ceux des banques par exemple avec les codes bancaires... Plus grave, en France, lorsqu'une grosse entreprise est piratée et que des fichiers sont volés, rien ne l'oblige à le dire, et elle ne le fait pas d'ailleurs dans la très grande majorité des cas.

Le magazine Capital du mois d'août 2009, en kiosque depuis le 23 juillet, met le feu aux poudres et livre un article exclusif et explosif sur les sites web d'entreprise. Et le titre en dit long : « Pirater un site Web d'entreprise, un jeu d'enfant ! ». Les journalistes se sont tout simplement « amusés » à pirater les sites de sociétés telles qu'Orange, Virgin Mobile, HP, Amaguiz ou encore Facebook ! « Pas besoin d'être un pirate pour trouver un trésor : quelques clics et un peu d'astuce nous ont suffi pour forcer la porte de nombreux sites d'entreprise » affirme le journaliste, preuves à l'appui avec un tableau récapitulatif des infos récoltées, de ce qu'auraient pu en faire des pirates, et du temps de réaction des entreprises concernées.

Le principal problème que l'on retient à la lecture de l'article est que les sociétés n'accordent pas assez d'importance à la sécurisation de leur site web. D'autre part, une fois la faille détectée, la réaction de la société est plus ou moins inquiétante. Ainsi Orange a réagit immédiatement et a bloqué son site le temps de le sécuriser, Virgin Mobile a réagit en 24 heures et HP immédiatement. En revanche, d'autres résolvent le problème en un mois voire deux mois pour Facebook, par exemple. Enfin, d'autres ne réagissent pas. Capital expliquent concernant les sites Lactel, Francine et Lustucru que « prévenues par nos soins en mars dernier, les trois sociétés n'ont toujours pas réagi ». (Le magazine est parvenu à se procurer « l'identité et les adresses mail des centaines de gagnants du jeu concours Crêpes en fête organisé en février derniers »).

Alors comment a fait Capital pour devenir un véritable pirate du web et ce apparemment si facilement ? L'article commence ainsi et donne le ton « Fidèles de Virgin Mobile, vous pouvez remercier Capital. Pendant des semaines, votre opérateur téléphonique a laissé traîner sur son site Internet tout un tas de données confidentielles vous concernant : nom, adresse, numéro de téléphone, code secret, identification Imei de votre appareil... Il suffisait de taper sur son clavier un numéro de facture pour la faire apparaître à l'écran » Autres exemples à propos d'Orange : « Pour permettre à ses clients d'accéder à leur facture sans délier les cordons de la bourse, la société leur fournit par e-mail un mot de passe ultrasecret, qui se trouve être un simple numéro. Comme chez Virgin Mobile, il suffit d'en connaître un et de le faire varier (en l'augmentant de 1, puis de 2, etc.) pour avoir accès aux comptes personnels de 400 000 usagers de la maison », et de Hewlett Packard : « nous avons accédé sans difficulté à un fichier comportant l'adresse e-mail des 5 millions de lecteurs de la lettre d'information du groupe ». Les journalistes n'ont pas profité de leur trouvaille, ils ont averti les sociétés, mais les pirates eux en auraient tiré parti ! A propos du site Virgin Mobile, Capitale explique que : « un hacker facétieux - et prêt à commettre un délit pénal - n'aurait eu aucun mal à bloquer autant de lignes qu'il le souhaitait en quelques minutes. » A propos d'Orange : « Inutile de dire que la concurrence aurait adoré entrer en possession d'un tel fichier. Et les accros aux sites pédophiles plus encore, car il leur aurait permis de surfer à loisir sur le Net en usurpant l'identité des utilisateurs d'Orange. »

Plus grave encore, Capital a réussi à accéder via le site Titre emploi service aux dossiers Urssaf de dizaines de milliers d'employeurs : « Numéros de Siret, fiches de paie des salariés, données bancaires complètes... » et explique « Cette caverne d'Ali Baba aurait permis mille manipulations à des flibustiers malintentionnés, de la création de vraies-fausses sociétés à l'espionnage économique, en passant par toutes les arnaques bancaires possibles et imaginables. Estomaquée par notre découverte, la direction de l'Urssaf a illico fermé son portail pousse-au-crime. En oubliant au passage de prévenir les entreprises cotisantes des risques considérables qu'elle leur avait fait courir. »


N.B

Un article qui fait froid dans le dos, non ? Il apparait ainsi que si les particuliers commencent à faire des efforts en matière de sécurité, beaucoup de sociétés, qui détiennent de nombreuses informations sur nous, sont loin d'en faire autant. Et pourtant elles ont les moyens financiers et techniques de sécuriser leurs sites.

Source : www.vienumerique.com
Adresse Fil Rss http://www.deridet.com/xml/syndication.rss