La Mutuelle générale de l'éducation nationale n'imposait pas de login/mot de passe pour l'administration à distance...

Le site de la Mgen avait ceci de particulier qu'aucun identifiant ou mot de passe n'avait été mis en place. En clair, n'importe qui pouvait administrer le site à distance. Vous me direz, avec un plan comme ça, aucun pirate ayant la moindre "éthique" ne va changer la page d'accueil... Ce serait trop facile... Même pas un tit' mot de passe à cracker... Rien... Du tout... Jean-Kevin aurait abandonné avant même le premier chargement du site...

Pourtant, il y a bien un truc qui aurait été marrant... C'eut été d'installer un identifiant et un mot de passe pour l'administrateur du site, ce qui aurait empêché les modifications par quiconque au sein de la Mgen...

Bah...

Ce qui est étrange c'est que derrière ce serveur, comme pour tous les sites que nous épinglons dans la rubrique "le monde fou, fou, fou des admins", personne ne se rend compte de ce qui se passe lorsqu'un membre de Kitetoa passe une semaine à explorer les failles en question... Ce n'est pas du piratage, mais tout de même, lorsque quelqu'un lance un Explorateur Front Page sur un site, les logs montrent quelque chose de particulier. Par exemple, un gros malin, abonné de Wanadoo a tenté l'expérience récemment sur le site Kitetoa.com... Cela donne à peu près ça:

APh-Aug-101-2-210.abo.wanadoo.fr - - [19/Jun/2000:06:39:34 -0400] "POST /_vti_bin/_vti_aut/author.exe HTTP/1.1" 401 413 "-" "MSFrontPage/4.0"
APh-Aug-101-2-210.abo.wanadoo.fr - - [19/Jun/2000:06:39:34 -0400] "POST /_vti_bin/_vti_aut/author.exe HTTP/1.1" 401 413 "-" "MSFrontPage/4.0"

Jean-Kevin n'avait pas le login et le mot de passe pour Kitetoa.com. Ca n'a donc pas marché... Zut alors...

Kitetoa