Quelques explications à propos de notre petite histoire sur le serveur de la Maison Blanche |
|||||||||||
|
Quelques post dans le forum après la publication d'un papier sur la Maison Blanche ont attiré notre attention sur le
fait que certains lecteurs commençaient à se lasser de nos hack de sandwichs au jambon.
En quoi consiste un hack de sandwich au jambon d'ailleurs? Avant tout, il convient de choisir un serveur un peu en vue et qui crie très fort des choses du genre "Nous sommes numéro 1" (de quoi, mystère...) ou "Nous allons vous faire vivre la révolution Internet" (c'est bon, on la vit depuis un bon moment...) ou encore "nous apportons la sécurité dans un monde Internet livré aux hackers" (ben voyons...). Ensuite, il convient de vérifier le type de serveur installé. Netscape ou Lotus feront l'affaire, mais IIS peut également révéler des surprises. Tester le serveur en lui passant des URL (adresses) particulières permettant de vérifier s'il est sujet à quelques bugs hyper connus. Si le serveur répond présent, nous pouvons, notamment, lister le contenu des répertoires. Ou accéder à un module de mise à jour à distance. Sans avoir à s'identifier. Le serveur nous considère donc comme un visiteur de base et il n'y a aucun piratage puisque pas d'identification (avis à l'experte en piratage informatique Mme Maussion). Nous surfons sur le site. Les logs feront foi le jour où une entreprise un peu déconnante décidera de nous attaquer pour piratage... Mais bon, il paraît que d'autres angles d'attaques sont à l'étude, comme la diffusion de données personnelles (Cegetel) ou peut être l'utilisation indue d'une marque (Zebank)... Mais ce sont de vagues rumeurs... Bref, où en étions-nous? Ah, oui, nos fidèles lecteurs donc, expliquaient que bon, le truc de la Maison Blanche c'était un peu lassant... Genre, oui, bon vous avez eu accès au module d'administration à distance, et alors? Nous n'avions pas beaucoup développé le sujet. Il est vrai que par lassitude et grosse flemme, nous nous sommes contenté de publier quelques copies d'écran. vous noterez au passage que nous n'avons pas surmédiatisé l'affaire... Maintenant, puisque les gens s'interrogent, posons-nous clairement et par écrit les questions que nous nous sommes posés en voyant ce module... Où vont les millions de $ de lutte contre les vilains zakeurz et les pirates sanguinaires du Ouèb? Tous les trois jours, l'Administration américaine annonce la mise en place d'une nouvelle structure destinée à lutter contre les jeunes boutonneux qui piratent le cyber-monde. Car selon les (pseudo) experts américains (mais aussi franchouillards, on vous rassure) le danger est bien réel! Nous risquons une attaque de cyber-terroristes et l'espionnage industriel est à la cyber-porte (ou au cyber-intérieur) de nos entreprises! Il faut donc des sous pour lutter contre ces affreux, ces monstres sanguinaires assoiffés de bits! Soit. Mais dans ce cas, où vont les millions de dollars qui sont affectés à cette lutte sans merci? Car si les différentes structures en question ne sont même pas capables de vérifier que l'accès au module de mise à jour à distance du site de la Maison Blanche a été désactivé, on se demande à quoi elles servent... De même, on nous cite en permanence la NSA ou la CIA comme des épouvantails terribles qui peuvent savoir d'un simple clic de souris la marque de notre PQ... Mais les agences en questions ne semblent pas avoir les moyens de garder une trace des bugs idiots de ce type... Alors oui, nous avons estimé que ce genre de papier à propos de la Maison Blanche posait des questions. On est en droit d'imaginer les millions de dollars dépensés pour la sécurisation de ce type de site, d'imaginer que les agences les plus torrides ont planché sur ce serveur. Or il semble bien que cela n'ait pas donné un résultat optimal. De deux choses l'une, soit on nous raconte des mensonges sur les capacités de ces agences, soit elles n'ont pas bossé sur le site delà Maison Blanche, un petit emblème des USA et là, on se demande à quoi elles servent... Ca ne sert à rien de lister le contenu des répertoires! Oui... bon, celle-là, on nous l'a déjà faite. Nous vous renvoyons aux papiers comme celui sur la CPR/E*trade (on avait trouvé le mot de passe de l'Admin) ou sur celui intitulé "comment je n'ai pas hacké Victoire". Les lecteurs attentifs auront remarqué que dans le cas de la Maison Blanche nous n'avons pas listé le contenu des répertoires, mais chargé le contenu du site via une applet Java de mise à jour à distance. Cette applet est un peu particulière car, et vous pouvez adresser vos reproches à Netscape (postmaster@netscape.com), elle ne vous demande pas de login et de mot de passe pour charger le contenu du site... Pas très secure... D'autant que vous pouvez, en doublecliquant, visionner les fichiers stockés dans les répertoires grâce à un navigateur classique. Bref... Regardez bien les copies d'écran du papier sur la Maison Blanche. Vous verrez qu'il y a un répertoire Embargoed. Ce qui signifie que le service de presse de la présidence américaine doit y stocker de temps en temps des communiqués qui sont sous embargo. Il ne vous reste qu'à charger l'applet, cliquer sur les fichiers (s'il y en a) stockés dans ce répertoire pour être au courant avant les autres... Par ailleurs, si ce que nous avons trouvé sur ce site n'avait pas d'importance, les administrateurs des serveurs (oui, il y a aussi des www1.whitehouse.gov, etc.) n'auraient pas -promptement- retiré l'accès à la page menant au module en question. Rassurons nos lecteurs... Bien. Maintenant, une petite note frivole. Non, il n'y a pas de voiture avec une plaque diplomatique en bas de chez le Webmaster de Kitetoa.com ni des hommes en costumes noirs, lunettes de soleil et oreillette autour ce chez les membres de Kitetoa. Enfin... On ne les a pas repérés... :)
|
Naviguer, lire.... Le Sommaire |
Communiquer... |
Les rubriques! |
Les rubriques! |
Les dossiers |
Malade mental... Qui est Jean-Paul Ney, Le texte de la condamnation |
Malade mental, bis repetita Jean-Paul Ney condamné Condamnation de Jean-Paul Ney |
D'autres choses... |
Rechercher... et sur le Net... |