[Kitetoa, les pizzaïolos du Ouèb

Quelques explications à propos de notre petite histoire sur le serveur de la Maison Blanche

 
Récapitulatif des papiers
sur le monde étrange
des administrateurs réseau
et systèmes
Récapitulatif de nos
copies d'écran
sur ce même monde étrange
It's a funky job.
But Kitetoa's digital clone
does it...
Do you know info-hack
Kung-Fu?
La hotte du Kitetopapanoël
Ze Mega Kite-Teuf!
La fête de l'été de Kitetoa...
Les sites les plus nazes
de l'été 2000
La Loi de 78 impose
aux entreprises de protéger
les bases de données qu'elles
constituent...
Quelques post dans le forum après la publication d'un papier sur la Maison Blanche ont attiré notre attention sur le fait que certains lecteurs commençaient à se lasser de nos hack de sandwichs au jambon. En quoi consiste un hack de sandwich au jambon d'ailleurs?

Avant tout, il convient de choisir un serveur un peu en vue et qui crie très fort des choses du genre "Nous sommes numéro 1" (de quoi, mystère...) ou "Nous allons vous faire vivre la révolution Internet" (c'est bon, on la vit depuis un bon moment...) ou encore "nous apportons la sécurité dans un monde Internet livré aux hackers" (ben voyons...).

Ensuite, il convient de vérifier le type de serveur installé. Netscape ou Lotus feront l'affaire, mais IIS peut également révéler des surprises.

Tester le serveur en lui passant des URL (adresses) particulières permettant de vérifier s'il est sujet à quelques bugs hyper connus.

Si le serveur répond présent, nous pouvons, notamment, lister le contenu des répertoires. Ou accéder à un module de mise à jour à distance. Sans avoir à s'identifier. Le serveur nous considère donc comme un visiteur de base et il n'y a aucun piratage puisque pas d'identification (avis à l'experte en piratage informatique Mme Maussion). Nous surfons sur le site. Les logs feront foi le jour où une entreprise un peu déconnante décidera de nous attaquer pour piratage... Mais bon, il paraît que d'autres angles d'attaques sont à l'étude, comme la diffusion de données personnelles (Cegetel) ou peut être l'utilisation indue d'une marque (Zebank)... Mais ce sont de vagues rumeurs...

Bref, où en étions-nous? Ah, oui, nos fidèles lecteurs donc, expliquaient que bon, le truc de la Maison Blanche c'était un peu lassant... Genre, oui, bon vous avez eu accès au module d'administration à distance, et alors?

Nous n'avions pas beaucoup développé le sujet. Il est vrai que par lassitude et grosse flemme, nous nous sommes contenté de publier quelques copies d'écran.  vous noterez au passage que nous n'avons pas surmédiatisé l'affaire... Maintenant, puisque les gens s'interrogent, posons-nous clairement et par écrit les questions que nous nous sommes posés en voyant ce module...

Où vont les millions de $ de lutte contre les vilains zakeurz et les pirates sanguinaires du Ouèb?

Tous les trois jours, l'Administration américaine annonce la mise en place d'une nouvelle structure destinée à lutter contre les jeunes boutonneux qui piratent le cyber-monde. Car selon les (pseudo) experts américains (mais aussi franchouillards, on vous rassure) le danger est bien réel! Nous risquons une attaque de cyber-terroristes et l'espionnage industriel est à la cyber-porte (ou au cyber-intérieur) de nos entreprises! Il faut donc des sous pour lutter contre ces affreux, ces monstres sanguinaires assoiffés de bits!

Soit. Mais dans ce cas, où vont les millions de dollars qui sont affectés à cette lutte sans merci? Car si les différentes structures en question ne sont même pas capables de vérifier que l'accès au module de mise à jour à distance du site de la Maison Blanche a été désactivé, on se demande à quoi elles servent... De même, on nous cite en  permanence la NSA ou la CIA comme des épouvantails terribles qui peuvent savoir d'un simple clic de souris la marque de notre PQ... Mais les agences en questions ne semblent pas avoir les moyens de garder une trace des bugs idiots de ce type...

Alors oui, nous avons estimé que ce genre de papier à propos de la Maison Blanche posait des questions. On est en droit d'imaginer les millions de dollars dépensés pour la sécurisation de ce type de site, d'imaginer que les agences les plus torrides ont planché sur ce serveur. Or il semble bien que cela n'ait pas donné un résultat optimal. De deux choses l'une, soit on nous raconte des mensonges sur les capacités de ces agences, soit elles n'ont pas bossé sur le site delà Maison Blanche, un petit emblème des USA et là, on se demande à quoi elles servent...

Ca ne sert à rien de lister le contenu des répertoires!

Oui... bon, celle-là, on nous l'a déjà faite. Nous vous renvoyons aux papiers comme celui sur la CPR/E*trade (on avait trouvé le mot de passe de l'Admin) ou sur celui intitulé "comment je n'ai pas hacké Victoire".

Les lecteurs attentifs auront remarqué que dans le cas de la Maison Blanche nous n'avons pas listé le contenu des répertoires, mais chargé le contenu du site via une applet Java de mise à jour à distance. Cette applet est un peu particulière car, et vous pouvez adresser vos reproches à Netscape (postmaster@netscape.com), elle ne vous demande pas de login et de mot de passe pour charger le contenu du site... Pas très secure... D'autant que vous pouvez, en doublecliquant, visionner les fichiers stockés dans les répertoires grâce à un navigateur classique. Bref...

Regardez bien les copies d'écran du papier sur la Maison Blanche. Vous verrez qu'il y a un répertoire Embargoed. Ce qui signifie que le service de presse de la présidence américaine doit y stocker de temps en temps des communiqués qui sont sous embargo. Il ne vous reste qu'à charger l'applet, cliquer sur les fichiers (s'il y en a) stockés dans ce répertoire pour être au courant avant les autres... Par ailleurs, si ce que nous avons trouvé sur ce site n'avait pas d'importance, les administrateurs des serveurs (oui, il y a aussi des www1.whitehouse.gov, etc.) n'auraient pas -promptement- retiré l'accès à la page menant au module en question.

Rassurons nos lecteurs...

Bien. Maintenant, une petite note frivole. Non, il n'y a pas de voiture avec une plaque diplomatique en bas de chez le Webmaster de Kitetoa.com ni des hommes en costumes noirs, lunettes de soleil et oreillette autour ce chez les membres de Kitetoa. Enfin... On ne les a pas repérés...

:)

Kitetoa

 

Page d'accueil

Nous écrire
By mail

Nous envoyer des commentaires
By la page de le Feed-Back

Les mailing-lists

Nouveautés

Les stats du serveur

et...

Qui sommes-nous?

Le Sommaire
de
Kitetoa
(orientation...)

Sommaire général du site
(voir tout le contenu)

Les rubriques!

Les livres publiés par Kitetoa
Les Textes
Les interviews

Kit'Investisseurs
Fonds d'écran et autres trucs

Les rubriques!
(suite)
Les Let-R-s

Des Images
On s'en fout!

KitEcout'
KessTaVu? -KiteToile
Voyages

Statisticator, l'autre site...

Les dossiers :

Precision [ZataZ]
Le monde fou des Admins
Defcon
Le hack le plus bizarre
Guerre de l'info
Convention contre la cyber-criminalité
Hack

Questionnaire visant à améliorer le contenu de  ce site si c'est possible et pas trop compliqué

Réponses au questionnaire visant...
(merci)

Le Forum
Kitetoa-blah-blah

Rechercher
sur le site

...et sur le Net


Des liens
et
D'autres choses du Ouèb