[Kitetoa, les pizzaïolos du Ouèb

Ta sécurité en short sur Internet!!

Update du 04/06/99

 
Récapitulatif des papiers
sur le monde étrange
des administrateurs réseau
et systèmes
Récapitulatif de nos
copies d'écran
sur ce même monde étrange
It's a funky job.
But Kitetoa's digital clone
does it...
Do you know info-hack
Kung-Fu?
La hotte du Kitetopapanoël
Ze Mega Kite-Teuf!
La fête de l'été de Kitetoa...
Les sites les plus nazes
de l'été 2000
La Loi de 78 impose
aux entreprises de protéger
les bases de données qu'elles
constituent...
Hop, nous revoilou avec nos histoires à la mord moi le noeud...

Toujours curieux, toujours à la recherche de serveurs mal installés dans des domaines importants comme la banque ou le gouvernement, voici que nous sommes tombés sur CPR. La société de bourse a passé récemment un accord avec l'Américain E*Trade pour pouvoir offrir des passations d'ordre en ligne sur le marché français. C'était assez triomphateur comme genre de communiqué de presse. Bref, passons. Voilà donc que Kitetoa met encore le nez où il ne doit pas. Armé de son browser préféré un Netscape Navigator bidule chose, votre serviteur tape: www.cprbourse.tm.fr. Petite balade dans les menus du Navigator... OK, confirmation de la présence d'un serveur mal installé... Lancement du bidule via le Navigator... Bingo, le contenu du serveur s'affiche dans le module Java ad hoc... Surpriiiiiiiiise...... C'est le serveur le plus mal installé du monde... ;) On y voit clairement l'endroit où sont stockés les mots de passe de l'administrateur... Arf... Imaginez la page d'accueil du serveur avec ce type de news: "Le marché s'effondre et perd 14%. L'invasion éclair de la Hongrie et de l'Allemagne par la Serbie a déclenché... bla,  bla...". Il y a des chances pour qu'un mouvement vendeur s'initie... Non?

Bref....

En images, ça donne ça pour le module de visualisation du contenu du serveur et ça pour les passwords (non vous ne les verrez pas en entier...). Les passwords ne sont pas "complètement" en clair, ils sont cryptés. Mais les outils pour les décrypter existent et il serait idiot de penser un instant que ce genre de chose peut arrêter des pirates informatiques.

 

Bien entendu, la CPR a été prévenue par mail le 03/06/99 après-midi (Corine Marchal E-mail : cmarchal@cpr.fr ainsi que le resposnable systèmes et sécurité de la boite et une autre personne de la CPR...)  et nous n'avons rien fait de particulier sur leur serveur à part naviguer avec un browser pour la simple et bonne raison que nous n'avons aucune connaissance informatique.

Kitetoa

Update du 04/06/99

La soirée (la nuit?) a été agitée pour les membres de la CPR, cette charmante société de bourse qui offrait la possibilité à tout un chacun de voir au travers d'un simple browser les mots de passe de l'administrateur du serveur.

Notre premier mail à l'attachée de presse n'a eu aucun effet à part une visite de *.cpr.fr sur le site... En vain puisque nous ne'avions encore rien publié. Ne recevant aucune réponse, nous avons décidé de publier l'histoire.

Nous avons également décidé d'envoyer le même mail [prévenant du double problème d'installation du serveur] à deux autres personnes de la CPR, dont le responsable sécurité.

Toujours pas de réponse à nos mail ce vendredi 4 juin. Ni merci, ni merde... Mais ce genre d'attitude n'est pas nouveau. Lisez notre petite mise au point sur ce sujet...

En revanche, les problèmes du serveur sont réglés. Et les membres de la CPR se sont rués (et continuent aujourd'hui) sur notre serveur. On ne vous copie pas ici les logs du serveur concernant *.cpr.fr parce que la page ferait trois kilomètres de long...

Notons au passage que la direction de la CPR ne peut être entièrement tenue pour responsables de cette affaire. De fait, E*Trade, l'américain aurait pu faire un audit une fois le service lancé. Tout comme CPR bien sur... Mais bon, ça coûte des sous les audits sécurité... De plus, le serveur est hébergé chez un ISP.... Imaginet si notre traceroute est juste... Celui-ci aurait pu installer les serveurs correctement et éviter une double erreur mêlant les défauts du serveur Netscape et des extensions Front Page de Microsoft. Beau doublé tout de même...!

Bref, on peut tout de même tirer notre chapeau à la CPR qui a su régler le problème en une soirée tandis que d'autres avaient besoin de plusieurs mois... Ou ne l'ont toujours pas fait...

Kitetoa

 

Page d'accueil

Nous écrire
By mail

Nous envoyer des commentaires
By la page de le Feed-Back

Les mailing-lists

Nouveautés

Les stats du serveur

et...

Qui sommes-nous?

Le Sommaire
de
Kitetoa
(orientation...)

Sommaire général du site
(voir tout le contenu)

Les rubriques!

Les livres publiés par Kitetoa
Les Textes
Les interviews

Kit'Investisseurs
Fonds d'écran et autres trucs

Les rubriques!
(suite)
Les Let-R-s

Des Images
On s'en fout!

KitEcout'
KessTaVu? -KiteToile
Voyages

Statisticator, l'autre site...

Les dossiers :

Precision [ZataZ]
Le monde fou des Admins
Defcon
Le hack le plus bizarre
Guerre de l'info
Convention contre la cyber-criminalité
Hack

Questionnaire visant à améliorer le contenu de  ce site si c'est possible et pas trop compliqué

Réponses au questionnaire visant...
(merci)

Le Forum
Kitetoa-blah-blah

Rechercher
sur le site

...et sur le Net


Des liens
et
D'autres choses du Ouèb