[Kitetoa, les pizzaïolos du Ouèb

Victoire, ou comment hacker les sandwichs au jambon des marchés financiers...

Le groupe de Bernard Arnault pédale dans la semoule des NTIC...

ExplicitDefjpg.jpg (6059 octets)

  barre de navigation Victoire

Sommaire de
l'e-stoire Victoire

Papier e-naugural
Victoire se moque
de ses clients, bien sûr,
mais aussi d'elle-même...
Victoire dévoile les
statistiques de ses clients...
Victoire, des serveurs
bancaires et une
franche rigolade...
Petite précision à
l'attention de la Pédégère
de Victoire
Victoire et les
données personnelles...
Près d'un mois plus tard,
il est toujours possible
d'accéder à un module
d'administration...
Comment je n'ai pas
hacké les serveurs
de Victoire
How to hack financial
markets' ham sandwiches
Advisory numba' 2
nav bar recap admins
Récapitulatif des papiers
sur le monde étrange
des administrateurs réseau
et systèmes
Récapitulatif de nos
copies d'écran
sur ce même monde étrange
Cette page n'est plus mise à jour
depuis août 2001
Taijiquan style Haking (dot com)
Sasak style Haking (dot com)
Le Match Kitetoa versus
Ugly Discoursmarketing
It's a funky job.
But Kitetoa's digital clone
does it...
Do you know info-hack
Kung-Fu?
La hotte du Kitetopapanoël
Ze Mega Kite-Teuf!
La fête de l'été de Kitetoa...
Les sites les plus nazes
de l'été 2000
La Loi de 78 impose
aux entreprises de protéger
les bases de données qu'elles
constituent
...
Le sujet est complexe car il s'agit d'une histoire à tiroirs. Mais croyez-nous sur parole, elle vaut le détour! En quelques clics de souris, nous aurions pu faire perdre des sommes importantes à de nombreux internautes, déclencher une vraie polémique sur la place financière parisienne et provoquer des dizaines de procès contre l'une des entreprises du groupe LVMH...

Allons-y:

Avant tout, présentons les acteurs de l'histoire. Louis-Vuitton Moët-Hennessy est LA société de Bernard Arnault, l'un des deux milliardaires (en francs) les plus en vue de ce pays. LVMH détient Europ@web, fonds d'investissement dans les NTIC qui détient lui-même Zebank/Zeproject. LVMH détient le magazine Investir via Desfossés International. Desfossés détient une boite initialement spécialisée dans les serveurs Minitel et les données financières qui a pris le virage Internet: Victoire.

L'histoire en elle-même maintenant...

Souvenez-vous, tout début avril, Kitetoa met fin à la campagne de teasing la plus stupide du Web francophone: le mystère Zebank. Depuis des mois, les stratèges du marketing de Zebank/Zeproject distillaient au goutte à goutte des micro-informations sur ce qu'il y aurait dans le paquet cadeau Zebank. Las..., le serveur de Zebank était mal configuré et nous avions pu faire des copies des pages qu'il y avait (bizarrement) à l'intérieur... Nous avions prévenu les responsables du site. Ils avaient réparé.

A la mi-avril, un lecteur nous avait signalé un défaut similaire sur le serveur du magazine financier Investir. Il se trouve qu'historiquement (oui, ça renvoie à la préhistoire du Net en France) nous connaissons la personne en charge du développement des éditions électroniques d'Investir. Nous lui avions envoyé un mail et elle avait contacté l'hébergeur du site. L'hébergeur du site est Victoire.

Victoire n'a jamais rien fait pour répondre à la demande d'Investir. Le serveur du magazine reste en effet, aujourd'hui encore, pour le moins "ouvert".

S'agissant d'un grand groupe, et vu le problème d'image généré par la bêtise des administrateurs du site Zebank (Sema, une SSII), on pourrait imaginer qu'il existe une sorte de politique globale en matière de sécurité. Pas ici. Voici un groupe qui se fait démolir une campagne de teasing en raison d'une mauvaise installation d'un serveur et qui ne transmet pas l'information à toutes ses filiales. On aurait pu imaginer par exemple que la direction de la communication de LVMH demande à toutes les filiales de vérifier si leurs serveurs étaient sujets au problème de Zebank ou pas...

Mais non, visiblement, pas ici...

C'est ainsi que le site d'Investir présentait quinze jours plus tard le même problème. On aurait également pu imaginer que, saisi officiellement, en interne, par une filiale cliente, Victoire allait réagir. Surtout après l'histoire Zebank.

Ben non...

Mais que viennent faire Investir et Victoire dans toute cette histoire? Où veut en venir Kitetoa? Hein?

Ici...

Il y a quelques jours, un membre de Kitetoa, parti à la chasse aux sandwichs au jambon, tombe par hasard sur Victoire. Et se rend compte, je vous le donne en mille, que le site présente la même faille que Zebank et qu'Investir!

Non seulement les ralentis de la communication et les ralentis de la souris du groupe LVMH n'ont pas procédé à un audit généralisé de tous les serveurs du groupe. Ils semblent s'être contentés de traiter celui de Zebank, mais ils ont négligé une information parvenue en interne à propos d'un serveur du groupe. Et pour couronner le tout, les illuminés de Victoire n'ont même pas pensé à regarder si leur propre serveur ne présentait pas la faille en question...

Et honnêtement, ils auraient dû!

Modifier les données financières qui s'affichent sur des sites bancaires...

Car Victoire ne fait pas de la gentille page statique pour présenter la dernière recette de grand-mère sur le Web. Victoire produit et distribue des cours de bourse, des informations financières comme les résultats des entreprises, les contrats du Matif, et mille autres petites choses qui passionnent la place financière. Elle fait cela pour son compte propre, mais aussi pour d'autres sociétés. En clair, d'autres serveurs Web financiers affichent dans leurs pages des données financières qui leurs sont fournies par Victoire. Vous nous suivez?

La question qui se pose dès lors pour un hacker de sandwichs au jambon est: serait-il possible de modifier ces données?

Réponse : OUI!

Comment ça, me direz-vous? Faut-il être un pirate de la mort hyper balèze pour faire ça? Non, grâce à la médiocrité crasse de Victoire, il suffit d'appuyer sur un bouton. Ils ont créé une belle interface au format HTML pour modifier toutes sortes de choses. Dès lors, rien de plus simple que d'altérer les données concernant les contrats Matif, annoncer de faux bénéfices,   des opérations sur titres bidons. Vous ne savez pas ce que sont des OST? Les financiers comprendront. Disons que ce sont des opérations que l'on réalise sur les titres d'une entreprise cotée. C'est suffisamment intéressant comme nouvelle, lorsque cela arrive, pour que les investisseurs achètent ou vendent.

Et justement... C'est un peu tout le problème de cette histoire de Victoire: il est possible d'un simple clic de souris, sur des pages d'administration du serveur accessibles via un simple browser par tout internaute, de modifier les données diffusées par Victoire... On imagine bien la tête des responsables de la Deutsche Bank, par exemple, si leur site se mettait à diffuser des informations erronées par la grâce de l'incurie des rigolos de chez Victoire. Bien sûr la Deutsche Bank explique sur son site qu'elle décline toute responsabilité à propos des informations diffusées et qui sont "réputées fiables"... Ah? Mais on imagine surtout la tête des boursicoteurs français qui auraient investi sur la base de données bidons... Ah, oui, il y a aussi le scenario qui permettrait de gagner quelques sous pour les vacances, consistant à créer un mouvement baissier sur une valeur, pour acheter au plus bas et revendre un peu plus tard...

Bien entendu, Victoire a une politique sécurité tellement "raz des pâquerettes" que ce que nous décrivons ici n'est qu'une partie des choses possibles...

Souvenez-vous (si vous l'avez lu...) du roman Hell's r00ts... On se rapproche de ce qui y est décrit non?

;)

Kitetoa

 

Liens de navigation

Naviguer, lire....

Page d'accueil

Nouveautés

Le Sommaire
de
Kitetoa

(orientation...)

Communiquer...

Le Forum
Kitetoa-blah-blah

Nous écrire

Les mailing-lists

Les stats du serveur

Qui sommes-nous?

Les rubriques!

Les livres publiés par Kitetoa

Les interviews

Kit'Investisseurs

Fonds d'écran et autres trucs

Les rubriques!
(suite)

KitEcout'

KessTaVu?-KiteToile

Voyages

la malle de Kitetoa
(vieilleries du site)

Les dossiers

Le monde fou des Admins

Tati versus Kitetoa

Tegam versus Guillermito

Malade mental...

Qui est Jean-Paul Ney,
condamné pour
menaces de mort
réitérées contre Kitetoa?

Le texte de la condamnation
de Jean-Paul Ney
(résumé html)
(complet pdf)

Malade mental, bis repetita

Jean-Paul Ney condamné
pour diffamation
à l'encontre du webmaster
de Kitetoa.com

Condamnation de Jean-Paul Ney
pour diffamation (pdf)

D'autres choses...

Aporismes.com

Statisticator

L'association Kite-Aide

Rechercher...

Rechercher
sur le site

et sur le Net...

Jean-Paul Ney

Jean-Paul Ney