Dans la journée de vendredi, plusieurs informations ont fait état d'un piratage des informations appartenant à la boutique en ligne Orange.fr. Un hacker a été capable de récupérer de nombreuses bases de données appartenant à l'opérateur (AFFILIATION, BDS, CLIENT, Commande...). Les détails de l'attaque ont même été publiés sur le site de partage Pastebin.
Interrogé par le site Zataz, HiddenTapz confirme : « J'ai voulu prouver qu'il y avait des injections de SQL menaçant Orange, ainsi que l'AFAI. Je veux juste dire que je n'ai jamais exploité ces iSQL (...) Je divulgue ces informations afin d'aider à la sécurisation ». Il précise également ne pas être en phase avec les actions des Anonymous (n'agissant pas de manière « juste », selon ses propos). « Ma motivation est de montrer que le monde digital n'est pas sécurisé, malheureusement », souligne le hacker.
Concrètement, il indique avoir exploité une faille de sécurité en relation avec des bases de données. En injectant une requête SQL non prévue par le système, il a donc été en mesure de collecter les informations appartenant à l'opérateur. Par contre, même si certains détails concernant l'attaque sont désormais connus, HiddenTapz a précisé qu'il ne communiquerait la faille aux services de l'opérateur qu'en fonction de la réaction d'Orange.
De son côté, la firme a confirmé sur Twitter avoir été victime d'une attaque. L'opérateur explique : « La boutique en ligne du site orange.fr a été la cible d'un pirate informatique, ce qui nous a conduit à arrêter dès vendredi soir le service concerné, le temps de s'assurer que l'ensemble des données informatiques sont protégées. La réouverture du service est prévue dans le courant de la journée d'aujourd'hui. Nous poursuivons nos investigations sur les conséquences éventuelles de cette intrusion informatique ».
Reste donc à savoir si les services d'Orange et HiddenTapz décideront de partager leurs connaissances. Selon plusieurs informations, le hacker aurait utilisé un logiciel iranien capable de sonder les bases de données d'un serveur insuffisamment sécurisé.
Mise à jour : Dans un message publié sur Twitter, Orange annonce que sa boutique en ligne est de nouveau fonctionnelle. L'opérateur précise que « les investigations techniques menées à ce jour démontrent qu'aucune donnée client n'a été dérobée ». Par contre, Orange ne donne pas d'explications sur la vulnérabilité utilisée par le hacker ni si ce dernier a aidé à colmater les failles du site.
Version initiale de l'article publiée le 29/08/2011 à 12h52