Victoire, ou comment hacker les sandwichs au jambon des marchés financiers... Le groupe de Bernard Arnault pédale dans la semoule des NTIC... |
|||||||||||
|
Le sujet
est complexe car il s'agit d'une histoire à tiroirs. Mais croyez-nous sur parole, elle
vaut le détour! En quelques clics de souris, nous aurions pu faire perdre des sommes
importantes à de nombreux internautes, déclencher une vraie polémique sur la place
financière parisienne et provoquer des dizaines de procès contre l'une des entreprises
du groupe LVMH... Allons-y: Avant tout, présentons les acteurs de l'histoire. Louis-Vuitton Moët-Hennessy est LA société de Bernard Arnault, l'un des deux milliardaires (en francs) les plus en vue de ce pays. LVMH détient Europ@web, fonds d'investissement dans les NTIC qui détient lui-même Zebank/Zeproject. LVMH détient le magazine Investir via Desfossés International. Desfossés détient une boite initialement spécialisée dans les serveurs Minitel et les données financières qui a pris le virage Internet: Victoire. L'histoire en elle-même maintenant... Souvenez-vous, tout début avril, Kitetoa met fin à la campagne de teasing la plus stupide du Web francophone: le mystère Zebank. Depuis des mois, les stratèges du marketing de Zebank/Zeproject distillaient au goutte à goutte des micro-informations sur ce qu'il y aurait dans le paquet cadeau Zebank. Las..., le serveur de Zebank était mal configuré et nous avions pu faire des copies des pages qu'il y avait (bizarrement) à l'intérieur... Nous avions prévenu les responsables du site. Ils avaient réparé. A la mi-avril, un lecteur nous avait signalé un défaut similaire sur le serveur du magazine financier Investir. Il se trouve qu'historiquement (oui, ça renvoie à la préhistoire du Net en France) nous connaissons la personne en charge du développement des éditions électroniques d'Investir. Nous lui avions envoyé un mail et elle avait contacté l'hébergeur du site. L'hébergeur du site est Victoire. Victoire n'a jamais rien fait pour répondre à la demande d'Investir. Le serveur du magazine reste en effet, aujourd'hui encore, pour le moins "ouvert". S'agissant d'un grand groupe, et vu le problème d'image généré par la bêtise des administrateurs du site Zebank (Sema, une SSII), on pourrait imaginer qu'il existe une sorte de politique globale en matière de sécurité. Pas ici. Voici un groupe qui se fait démolir une campagne de teasing en raison d'une mauvaise installation d'un serveur et qui ne transmet pas l'information à toutes ses filiales. On aurait pu imaginer par exemple que la direction de la communication de LVMH demande à toutes les filiales de vérifier si leurs serveurs étaient sujets au problème de Zebank ou pas... Mais non, visiblement, pas ici... C'est ainsi que le site d'Investir présentait quinze jours plus tard le même problème. On aurait également pu imaginer que, saisi officiellement, en interne, par une filiale cliente, Victoire allait réagir. Surtout après l'histoire Zebank. Ben non... Mais que viennent faire Investir et Victoire dans toute cette histoire? Où veut en venir Kitetoa? Hein? Ici... Il y a quelques jours, un membre de Kitetoa, parti à la chasse aux sandwichs au jambon, tombe par hasard sur Victoire. Et se rend compte, je vous le donne en mille, que le site présente la même faille que Zebank et qu'Investir! Non seulement les ralentis de la communication et les ralentis de la souris du groupe LVMH n'ont pas procédé à un audit généralisé de tous les serveurs du groupe. Ils semblent s'être contentés de traiter celui de Zebank, mais ils ont négligé une information parvenue en interne à propos d'un serveur du groupe. Et pour couronner le tout, les illuminés de Victoire n'ont même pas pensé à regarder si leur propre serveur ne présentait pas la faille en question... Et honnêtement, ils auraient dû! Modifier les données financières qui s'affichent sur des sites bancaires... Car Victoire ne fait pas de la gentille page statique pour présenter la dernière recette de grand-mère sur le Web. Victoire produit et distribue des cours de bourse, des informations financières comme les résultats des entreprises, les contrats du Matif, et mille autres petites choses qui passionnent la place financière. Elle fait cela pour son compte propre, mais aussi pour d'autres sociétés. En clair, d'autres serveurs Web financiers affichent dans leurs pages des données financières qui leurs sont fournies par Victoire. Vous nous suivez? La question qui se pose dès lors pour un hacker de sandwichs au jambon est: serait-il possible de modifier ces données? Réponse : OUI! Comment ça, me direz-vous? Faut-il être un pirate de la mort hyper balèze pour faire ça? Non, grâce à la médiocrité crasse de Victoire, il suffit d'appuyer sur un bouton. Ils ont créé une belle interface au format HTML pour modifier toutes sortes de choses. Dès lors, rien de plus simple que d'altérer les données concernant les contrats Matif, annoncer de faux bénéfices, des opérations sur titres bidons. Vous ne savez pas ce que sont des OST? Les financiers comprendront. Disons que ce sont des opérations que l'on réalise sur les titres d'une entreprise cotée. C'est suffisamment intéressant comme nouvelle, lorsque cela arrive, pour que les investisseurs achètent ou vendent. Et justement... C'est un peu tout le problème de cette histoire de Victoire: il est possible d'un simple clic de souris, sur des pages d'administration du serveur accessibles via un simple browser par tout internaute, de modifier les données diffusées par Victoire... On imagine bien la tête des responsables de la Deutsche Bank, par exemple, si leur site se mettait à diffuser des informations erronées par la grâce de l'incurie des rigolos de chez Victoire. Bien sûr la Deutsche Bank explique sur son site qu'elle décline toute responsabilité à propos des informations diffusées et qui sont "réputées fiables"... Ah? Mais on imagine surtout la tête des boursicoteurs français qui auraient investi sur la base de données bidons... Ah, oui, il y a aussi le scenario qui permettrait de gagner quelques sous pour les vacances, consistant à créer un mouvement baissier sur une valeur, pour acheter au plus bas et revendre un peu plus tard... Bien entendu, Victoire a une politique sécurité tellement "raz des pâquerettes" que ce que nous décrivons ici n'est qu'une partie des choses possibles... Souvenez-vous (si vous l'avez lu...) du roman Hell's r00ts... On se rapproche de ce qui y est décrit non? ;)
|
Naviguer, lire.... Le Sommaire |
Communiquer... |
Les rubriques! |
Les rubriques! |
Les dossiers |
Malade mental... Qui est Jean-Paul Ney, Le texte de la condamnation |
Malade mental, bis repetita Jean-Paul Ney condamné Condamnation de Jean-Paul Ney |
D'autres choses... |
Rechercher... et sur le Net... |