La boutique Orange.fr confirme avoir été la cible d'un hack (màj)

Olivier Robillart
Publié le 31 août 2011 à 12h19
Orange confirme avoir été touché par une attaque contre sa boutique en ligne. L'injection SQL a été revendiquée par un hacker connu sous le pseudonyme HiddenTapz. Dans ses explications, ce dernier précise qu'il pourrait ne pas dévoiler les détails des failles de sécurité utilisées.

00FA000003947972-photo-logo-o-range.jpg
Dans la journée de vendredi, plusieurs informations ont fait état d'un piratage des informations appartenant à la boutique en ligne Orange.fr. Un hacker a été capable de récupérer de nombreuses bases de données appartenant à l'opérateur (AFFILIATION, BDS, CLIENT, Commande...). Les détails de l'attaque ont même été publiés sur le site de partage Pastebin.

Interrogé par le site Zataz, HiddenTapz confirme : « J'ai voulu prouver qu'il y avait des injections de SQL menaçant Orange, ainsi que l'AFAI. Je veux juste dire que je n'ai jamais exploité ces iSQL (...) Je divulgue ces informations afin d'aider à la sécurisation ». Il précise également ne pas être en phase avec les actions des Anonymous (n'agissant pas de manière « juste », selon ses propos). « Ma motivation est de montrer que le monde digital n'est pas sécurisé, malheureusement », souligne le hacker.

Concrètement, il indique avoir exploité une faille de sécurité en relation avec des bases de données. En injectant une requête SQL non prévue par le système, il a donc été en mesure de collecter les informations appartenant à l'opérateur. Par contre, même si certains détails concernant l'attaque sont désormais connus, HiddenTapz a précisé qu'il ne communiquerait la faille aux services de l'opérateur qu'en fonction de la réaction d'Orange.

De son côté, la firme a confirmé sur Twitter avoir été victime d'une attaque. L'opérateur explique : « La boutique en ligne du site orange.fr a été la cible d'un pirate informatique, ce qui nous a conduit à arrêter dès vendredi soir le service concerné, le temps de s'assurer que l'ensemble des données informatiques sont protégées. La réouverture du service est prévue dans le courant de la journée d'aujourd'hui. Nous poursuivons nos investigations sur les conséquences éventuelles de cette intrusion informatique ».

Reste donc à savoir si les services d'Orange et HiddenTapz décideront de partager leurs connaissances. Selon plusieurs informations, le hacker aurait utilisé un logiciel iranien capable de sonder les bases de données d'un serveur insuffisamment sécurisé.

Mise à jour : Dans un message publié sur Twitter, Orange annonce que sa boutique en ligne est de nouveau fonctionnelle. L'opérateur précise que « les investigations techniques menées à ce jour démontrent qu'aucune donnée client n'a été dérobée ». Par contre, Orange ne donne pas d'explications sur la vulnérabilité utilisée par le hacker ni si ce dernier a aidé à colmater les failles du site.

Version initiale de l'article publiée le 29/08/2011 à 12h52
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles