The Hack Story : #1, Piratage du ministère de la justice Francais

Hello !Aujourd'hui, je lance une nouvelle un nouveau site, une nouvelle rubrique, une nouvelle optique de vue.Aujourd'hui, sur www.michelgaschet.gp, on va parler Piratage. Fuite de donnée. Infiltration. On va suivre de près les différents sites qui permettent aux pirates de se faire leurs "pub" et garder des traces de leurs piratage (communément appelé "mirror", "mirroir" en français), pour ne citer que le plus connu : Zone-h.org.Ces articles sont rédigés par moi même, Michel Gaschet, puis relus et corrigés par Pseudo-Sae.On parlera aussi de Littérature, de Cinéma, de Jeux Vidéos, des critiques, qui elles seront écrite par Pseudo-Sae, et quelques rares fois par moi même.L'idée de lancer une rubrique pareille, qui s'apellera "The Hack Story", m'est venu après le triste constat de voir que les principaux sites sur le sujet ne couvraient pas assez le sujet. Ils ont évidement un domaine un peu plus large à "surveiller", ce qui fait qu'ils ne peuvent pas le faire. Dans cette rubrique donc, on parlera de chaque site "d'importance" Francais (et potentiellement d'autres pays, quand l'exception se justifie). Site du gouvernement, Site de partis politique, Site de grandes entreprises françaises. On retracera au maximum comment les pirates sont entrés, quelle technique, on essayera de savoir à quoi ils ont eu accès (quand les pirates ne le divulguent pas par eux mêmes), on étudiera tout cela.L'ouverture de ce site, sur ce domaine précis n'est pas un hasard. Mis a part qu'étant donné que mon site "pro" est hébergé par flemme sur un Start10M D'OVH et ne peut donc pas trop servir a ça, ce Nom de domaine m'a été offert par la societé NtGroup, l'entreprise guadeloupéenne chargé de la gestion du TLD .gp, justement après la découverte d'une faille de type "Injection SQL" sur le site www.nic.gp, qui permettait de mettre la main sur le contenu de la base de donnée.Bref !Aujourd'hui, pour l'inauguration du site et de la rubrique "The Hack Story", on va parler du piratage d'une assez importante structure du gouvernement, rattaché au ministère de la justice : le CDAD NORD. Le CDAD (Conseil départemental de l'accès au droit) du nord donc, situé a l'adresse www.cdad-nord.justice.fr. Depuis son piratage le 2 Mai 2015, Il a affiché quelque jours une laconique page de maintenance qui ressemblait énormément à la page de 404 du ministère de la justice, avant d'être purement et simplement supprimé pour rediriger automatiquement vers le ministère de la justice, www.justice.gouv.fr, pour refaire surface très récemment à son adresse d'origine Résumé des faits : Un pirate, se faisant appeler "Sarcasm" (très certainement en "l'honneur" de la musique qu'il diffuse sur sa page de "deface", qui est une version NightCore de la musique "Sarcasm", du groupe "Get Scared"), a réalisé un piratage du site du CDAD-NORD, remplacé la page d'accueil (c'est un peu plus technique que ça, on verra ça en dessous), volé le contenu de la base de donnée et rendu disponible celui ci au téléchargement sur la page de "deface". Un "déface", aussi appelé "barbouillage" en francais, c'est tout simplement comme des tags faits à la bombe de peinture recouvrant un mur entier, mais au lieu d'utiliser de la peinture les pirates utilisent des failles pour entrer et quelques lignes de codes pour s'installer, et ils font ça sur des sites internet.Essayons de retracer le chemin du pirate !Premier indice : étude de la page de "deface".Généralement, les pirates indiquent sur des sites d'archivage les piratages qu'ils ont effectués. Les sites en question gardent une copie publique de la page indiqué par le pirate. Cela permet en général de glâner quelques informations ou soupsonner plusieurs détails. Ici donc, le pirate à publié son piratage sur Zone-h, un célèbre site de "mirroir" de piratage, dont le nombre archivé grimpe de +10 "mirroirs" créés par minute si ce n'est plus en général. En étudiant la page "déposée" par le pirate sur le site du CDAD-NORD, on se rend vite compte qu'il n'a très certainement pas eu accès au serveur, pour la simple et bonne raison que ce n'est pas un fichier contenant uniquement la page de "deface" (chose que n'importe quel pirate ferait de la plus simple manière si il avait accès au serveur) mais bien l'index original du site, comprenant une petite ligne de code insérée par le pirate, qui permet de modifier totalement l'affichage de la page d'accueil en allant en chercher une autre sur un autre serveur (en technique, une simple iframe avec un peu de CSS et du JS pour réécrire tout ça dynamiquement et virer tout le reste déjà existant avec la méthode INNERHTML)Comme on peut le voir ici, c'est dans l'espace affichant a priori les "actus" que la ligne maliceuse à été injectée. Et c'est celle ci qui se charge de réécrire la page pour afficher autre chose que son véritable contenu. De là, on peut donc facilement deviner que l'injection de la ligne de code s'est effectuée via l'interface d'administration du site (vol d'identifiants via pishing+XSS sur le site? par faille sql pour récupérer les mots de passe?), ou directement via la base de donnée (via une Injection sql(certaine permette d'écrire en base de donnée)?). Étant donné qu'il diffuse à la fin de son message une copie manifestement complète de la base de donnée, on peut donc conclure qu'il est passé par une faille d'injection SQL. On peut aussi en conclure qu'il n'a pas eu accès à des données stockées sur le serveur (même si c'est techniquement possible via une injection SQL, bonjour load_file() :v), étant donné qu'il n'y a rien d'autre de téléchargeable qu'une copie de la base de donnée.En bref et sans les détails techniques : à première vue, le pirate a volé le contenu de la base de données (une structure contenant les informations du site, un peu comme un livre, l'idée serait de voler le CONTENU du livre (le recopier a la main par exemple) sans voler le livre en lui même.), mais n'aurais donc pas eu accès au serveur (soit pas d'accès au code source faisant tourner le site ni d'accès a des potentiels fichiers confidentiels stocké dessus, etc).Second indice : les données diffusées par le pirate.39 tables de la base de donnée ont donc été téléchargées. Comme dit un peu plus haut, elle a l'air complète, mais rien ne peut être sûr.Enregistré au format CVS, cela achève de confirmer la thèse de la faille d'injection SQL, et tend à penser que le pirate a utilisé le désormais célèbre SQLMAP pour réaliser son piratage (la manière dont est rédigé le fichier resume.txt ressemble énormément à ce que sqlmap donne comme output). On apprend qu'il est passé par la page "guide.php", présentant une faille SQL (de deux types, Boolean-based Blind et Error based, la première récupérant caractère par caractère en s'aidant du fait que la commande retourne TRUE ou FALSE, la seconde détourne les messages d'erreur de MYSQL pour extraire des données de la base de donnée.). On constate donc la première faille "humaine" : la mauvaise configuration du serveur mysql. en effet, c'est une des règles de base du Gestionnaire serveur de DESACTIVER l'affichage des erreurs (erreurs PHP, MYSQL, ou tout autre) sur un serveur en PRODUCTION.En étudiant les données, on remarque une chose, malheureusement encore trop fréquente et relativement abérante : les mots de passes n'étaient pas cryptés ! Ils étais en clair !Et en prime, un des comptes dont je ne citerais pas l'identifiant avait comme mot de passe CDAD-NORD ... High Security o/Seconde "faille humaine" donc.Bon, au final, coup de chance comme on pourrait dire : aucune donnée réellement sensible. Quelques adresses emails pour la plupart publiques, aucun abonné au système de newsletter qui était manifestement présent (une des tables porte "newsletter" dans son nom, d'où la suspicion de la présence d'un outil de newsletter), finalement peu de dégats pour vos données privées. Mais savoir qu'un établissement public de cette importance, sur un domaine internet de grande valeur, n'est pas sécurisé, ça fait peur. Cet établissement, le CDAD, est un groupement d'intérêt public doté de la personnalité morale, placé sous la présidence du président du tribunal de grande instance du chef-lieu du département.Cette structure réunit différents acteurs qui œuvrent pour l'accès au droit dans le département : les professionnels du droit (comme les avocats, les notaires, les huissiers de justice...), les collectivités locales en charge des politiques sociales, les associations spécialisées, et l'ÉtatLe CDAD a pour mission essentielle de définir une politique d'accès au droit dans le département, de piloter et de coordonner les actions en matière d'aide à l'accès au droit. Vous voyez le délire ? Imaginez les informations farfelues qu'un pirate bien plus malveillant qu'un "defaceur"/"barbouilleur" pourrait faire! Un exemple : Le piratage du compte twitter de l'équivalent de l'Agence France Presse aux USA. Un tweet, annonçant une attaque à la maison blanche et que le président était blessé, a suffit pour faire plonger la bourse US ce jour-là !Certes, ce n'est pas la même cour, ni les même risques, mais ça permet de se faire une idée des dégats que le piratage d'une structure gouvernementale ou de presse de très grande ampleur peut avoir.Il est important de noter que ce pirate à, et c'est malheureux a dire, de pas si mauvaises raisons pour justifier son acte (Bien que cela n'excuse en rien son acte, sa justification est malheureusement plus que juste), et il lutait contre la mauvaise tournure que prend le gouvernement en essayant de passer outre la séparation des pouvoirs pour faire de la censure et de la surveillance sans demander à un juge, sous le couvert de la protection anti-terrorriste. Et bien qu'actuellement ça est été relativement encadré malgré tout, cela reste quand même une porte (beaucoup trop) ouverte a des dérives dans le futur.Voila, c'est fini pour aujourd'hui !On se revoit dans quelques jours pour l'épisode 2 !@March




http://