Fuite de données UMP : selon les hackers, « aucun site institutionnel n'a été attaqué »

Olivier Robillart
Publié le 10 novembre 2011 à 10h58
Un groupe de hackers revendique le fait d'avoir rassemblé des informations appartenant à des députés, sénateurs et collaborateurs UMP. Dans un communiqué publié sur Pastebin, ils expliquent qu'aucun site institutionnel n'a été visé. Par contre, ils ont utilisé une faille SQL qualifiée de flagrante sur une société d'hébergement.

00FA000003052790-photo-disque-dur-perte-de-donn-es.jpg
Dans un communiqué, un groupe de hackers revendique le fait d'être parvenu à collecter les adresses e-mail, numéros de téléphone (portables) mais également la situation maritale de la plupart des élus et collaborateurs UMP. Ils précisent qu'aucun site « institutionnel n'a été attaqué, ni même visé. » En revanche, ils ont utilisé une faille SQL découverte dans les services de la société d'hébergement et de création de sites mes-conseils.fr.

Précisément, l'utilisation de cette faille a été possible grâce à un « Google dork » c'est-à-dire qu'ils ont été en mesure de savoir quels sites étaient affectés par cette faille de sécurité en utilisant simplement le moteur de recherche Google. Il est en effet possible de trouver, grâce à certaines requêtes (par exemple : Index of/) des mots de passe permettant d'accéder à une console d'administration.

Ils ont ensuite été capable d'obtenir des mots de plus de « 30 sites personnels de personnalités de l'UMP. L'exploitation de cette faille nous a mené à plus de 160 bases de données, dont la plupart étaient directement liées avec l'UMP. Dans ces bases de données, il y avait des centaines (milliers?) de mails, les identifiants confidentiels de ces députés pour se connecter à des extra/intranets, certains identifiants confidentiels permettant de se connecter au portail privé de l'Assemblée nationale » précise le groupe. Depuis, de nombreux sites d'élus de la majorité sont indisponibles tout comme le portail mes-conseils.fr.

Les hackers expliquent également leurs motivations en invitant le gouvernement à réfléchir à l'importance des données publiées mais également au manque de sécurité. Ils s'interrogent sur le fait que « ce webmaster laisse quasi-ouvert son serveur MySql, utilise le même mot de passe PARTOUT, et semble très peu regardant quant à la sécurité des données qu'il héberge ». Ils demandent pourquoi « certains députés confient à ce webmaster privé leurs identifiants officiels ».

Enfin, comme nous l'expliquions, ils mettent en lumière le risque de fuites dues à un fichage informatique dans le cadre de l'introduction de la nouvelle carte d'identité biométrique. En attendant que cette opération trouve un écho, le groupe tient à ajouter qu'ils n'ont rien sauvegardé et qu'ils ne republieront pas les informations collectées.

015E000004740308-photo-sans-titre-1.jpg
Olivier Robillart
Par Olivier Robillart

Mêler informatique, politique et journalisme tu essaieras ! Voilà ce que m'a demandé un jour un monsieur ridé tout vert qui traînait dans un square en bas de mon immeuble. J'essaie désormais de remplir cette mission en tant que rédacteur pour Clubic. Je traite principalement de politique numérique tout comme de sécurité informatique et d’e-Business. Passionné de Star Wars, de Monster Hunter, d’Heroic Fantasy et de loisirs numériques, je collabore régulièrement à de multiples projets vidéo de la rédaction. J’ai également pris la fâcheuse habitude de distribuer aux lecteurs leur dose hebdomadaire de troll via la Clubic Week.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles