Share

Orange France piraté ? Anonymous confirme

C’est la grosse information du jour et encore peu de média en parlent. Il faut dire que les informations sont encore minces, mais pourtant réelles.

Un lien est apparu sur la toile cet après-midi [Edit : lien supprimé aux alentours de 22h le 26/08/2011 sur PasteBin] avec pour titre Orange.fr Hacked Private Infos #1, renfermant des identifiants d’administration, ainsi que les mots de passe, du serveur de la boutique Orange.fr.

Le #1 suggère qu’il ne s’agit pour le moment que de la première partie des informations diffusées, et qu’il y en aura sûrement d’autres à venir.

Les pirates serait passés par une faille type Injection SQL, qui consiste à ajouter des données dans une base de données pour la compromettre et s’y introduire par la suite.

On estime alors que les hackers se sont introduits dans le système d’information de la boutique Orange et que, puisqu’ils possèdent des identifiants d’administration, ils ont pu mettre la main sur les données personnelles des clients de la boutique Orange.fr.

Le compte Twitter d’Anonymous France confirme l’information, sans plus de commentaires pour le moment.

Notons enfin qu’il y a moins de 2 mois, une importante faille de sécurité avait été identifié par des hackers chez un important fournisseur d’accès à Internet français et qu’ils avaient présenté leur découverte à la Nuit du Hack 2011 : Vidéo de la présentation.

Orange était-il le fournisseur d’accès français concerné et cette faille se serait-elle retournée contre eux ?

Pour le moment, Orange France n’a pas encore réagi. Il faudrait néanmoins que l’entreprise communique rapidement sur ce qu’il s’est passé pour éviter un fiasco similaire au piratage qui avait touché Sony il y a de cela quelques mois.

Si vous êtes chez Orange, que ce soit pour votre accès Internet, vos emails ou votre téléphone, je ne saurais trop vous recommander de changer vos identifiants le plus rapidement possible. C’est une mesure préventive qui ne fera pas de mal et qui pourra s’avérer salvatrice si des données personnelles ont été volées.

Affaire à suivre de près…

Mise à jour du 27/08/2011 : Publication par l’auteur présumé, le hacker HiddenTapz (qui revendique le piratage, qui semble ne pas être francophone et qui affirme avoir agi seul), de Orange.fr Hacked Private Infos #2 (ici sur PasteBin, copie ici), qui confirme bien que la boutique Orange.fr a été piratée…

Mise à jour du 28/08/2011 : Selon le site Undernews, spécialisé dans la sécurité informatique, la piratage d’Orange a bien été confirmé de source sûre. Le hacker responsable de l’intrusion ne projette pas de révéler à Orange quelle faille a été utilisée pour accéder aux serveurs car il considère que l’entreprise n’est pas assez sérieuse dans ce domaine pour que l’on puisse lui faire confiance pour corriger le problème. Le pirate projette donc de garder la faille secrète.

Pour ce qui est du sérieux d’Orange au niveau de la sécurité informatique, un lecteur a ajouté dans les commentaires que les failles à base d’injections SQL fonctionnent encore sur d’autres sites appartenant à Orange. Il a ainsi pu se balader dans les bases de données à sa guise d’un autre site Orange.fr.

Il semble qu’effectivement Orange possède un énorme souci au niveau de la sécurité informatique de ses bases de données, et 3 jours après la découverte de l’intrusion, il n’y a toujours pas un média qui en parle, ni un communiqué d’Orange pour rassurer ses clients…

Toujours envie de confier vos données à une entreprise aussi à la pointe niveau sécurité et qui soit si transparente avec ses clients ? 😉

Mise à jour du 29/08/2011: Le site sur la sécurité informatique Zataz.com, qui fait figure de référence dans le domaine, confirme lui aussi l’information.

On y apprend aussi de nouvelles choses, comme par exemple que le site Orange qui a été piraté a été mis hors-ligne par l’entreprise vendredi après-midi (24h après le piratage en gros) afin de contenir une éventuelle fuite de données.

Orange est donc bien au courant d’un problème de sécurité informatique, mais n’a toujours pas souhaité communiquer auprès de ses clients.

On apprend aussi la motivation du hacker HiddenTapz concernant le piratage. Il prévoit de faire une demande à Orange, en relation semble-t-il avec la liberté d’expression et les droits de l’homme sur Internet, ou peut-être la sécurité des données personnelles. Si ça demande n’est pas exécutée, il diffusera les données privées qu’il a pu obtenir sur les serveurs d’Orange. Une sorte de Robin des bois numérique semble-t-il, qui n’hésite pas à prendre en otage le plus gros FAI français pour faire aboutir son activisme. C’est assez énorme !

Il s’exprime ainsi auprès de Zataz :

« Jusqu’à ces derniers temps je n’avais jamais vraiment été intéressé par l’Europe et l’Ouest, l’OTAN était la Bête noire pour moi. Plus j’en étais éloigné, mieux je me portais. Alors après les révolutions dans des pays arabes, utilisant Internet comme le principal média, répercutées par les pays de l’Europe, dont la France, j’ai décidé de m’intéresser à votre pays. J’ai découvert les problèmes des Français. Je respecte le peuple, je parle avec des Français, je découvre leurs avis. Les ressemblances avec mon pays sont fortes. Nous sommes dans la même mentalité de réponse, le « œil pour œil – dent pour dent. J’ai pris une décision, me mettre du côté du peuple. Un peuple de plus en plus opprimé, comme le mien. J’ai aidé des Allemands, des Espagnols, des Russes, maintenant je vais aider les français face à leur gouvernement. »

A noter enfin que le hacker a utilisé un logiciel iranien de piratage très connu, vendu dans une version commerciale à environ 350 €.

Une nouvelle démonstration de ce logiciel a été faite : en 10 secondes, un pirate a pu avoir accès à la base de données du site netpme.professionnels.orange.fr, où des données bancaires de professionnels sont sauvegardés.

La faille semble donc prendre de plus en plus d’ampleur, et le hacker HiddenTapz, sûrement appelé à devenir célèbre en France, n’en a pas terminé avec cette affaire. Et toujours aucune réaction officielle de la part d’Orange, bien qu’ils soient visiblement au courant depuis vendredi…

Mise à jour : Communiqué officiel d’Orange France qui confirme l’intrusion mais ne connait pas encore l’étendue des dégâts.

De plus, j’ai été contacté par le « Social media manager » d’Orange, qui m’a gentiment confirmé le problème et se propose de nous tenir informer en cas de nouvelles.

J’apprécie vraiment la démarche, la communication sur ce problème a bien été faite et les clients sont informés. Je salue donc Orange au passage pour leur réactivité 🙂

Mise à jour du 31/08/2011 : Aux dernières nouvelles : « Toutes les investigations techniques menées à ce jour démontrent qu’aucune donnée client n’a été dérobée. »

Source

19 Commentaires sur cet article

  1. Pas tout compris, anonymous a confirmé le Hack, mais ils en sont responsable ? ou ils sont juste au courant ?

    Répondre
  2. @Nico Jojo : Ils ont juste dit : "Orange Owned", sans dire si cela venait d'eux. On en saura plus prochainement.

    Répondre
  3. Owned ayant deux sens différents, ils peuvent jouer sur l’ambiguïté du mot pour confirmer sans assumer.

    Répondre
  4. Anonymous

    "Les pirates serait passés par une faille type Injection SQL, qui consiste à ajouter des données dans une base de données pour la compromettre et s'y introduire par la suite."

    Il s agit d'injecter une requete SQL afin de recuperer des données de la base !!!Et non pas d'injecter des données dans la base !!

    Répondre
  5. Anonymous

    Hi, Frenchies,

    I Am not an "Anonymous" member, I am alone.

    HiddenTapz,
    Do not forget, My Will is good….

    (http://pastebin.com/Tud07Z88)

    Répondre
  6. HiddenTapz, si tu veux me donner quelques infos supplémentaires, je suis prêt à t'écouter 😉

    Répondre
  7. HiddenTapz, if you want to give me more information about the Orange Hack, i'm ready to listen to you 😉

    Répondre
  8. Anonymous

    Philippe said : "Qu'est-ce qu'il a hacké là le petit boutonneux anonymous ?"

    Apparemment il a hacké la boutique Orange.fr. et d'après ce que j'ai vu le résultat d'un concours.

    Les codes et Ip divulgués étaient les codes administrateurs de la boutique Orange et non pas ceux des abonnés.

    Si c'est ça qui t’inquiète Philippe ne t'en fais pas pas de donnés utilisateurs divulgués.

    Parad0xJ

    Répondre
  9. Anonymous

    Impossible de télécharger le code :/

    Répondre
  10. Anonymous

    1. Avec le compte admin d'une base, tu as la main sur les données user habituellement. Les données users sont compromises.

    2. La "faille" présentée à la NDH n'a rien à voir.

    3. La prés' NDH est plutôt grotesque, cf. la question à ~18:20 : ils ont du se mettre à 3 pour faire nmap et traceroute sur les IP relevées sur différentes box. et constaté que des IP tenaient des serveurs plus importants.

    Répondre
  11. Anonymous

    J'ai peut-être mal cherché mais je ne vois pas d'infos persos dans le deuxième fichier.

    Sinon, c'est quoi exactement la "boutique orange" ?
    Moi je connais le FAI, je suis chez eux, mais je ne me souviens pas avoir jamais utilisé leur boutique.

    Répondre
  12. Anonymous

    visiblement, c'est un vieux site d'orange qui n'est plus mis à jour depuis un petit moment déjà, le site servant de boutique à orange actuellement est à l'adresse : boutiqueS.orange.fr, avec un "S" donc.

    Ceci dit, au moins un autre site actuel d'orange (mais secondaire aussi) est vulnérable par sqli, avec accès total à la bd, je suis dedans :)…. bon, y'a du mieux quand même cette fois, les mots de passe ne sont pas en clair dans celle là !

    VLAS

    Répondre
  13. Bonjour, Merci pour la mise à jour, c'est vrai que ça laisse songeur ce silence d'Orange et des autres médias surtout du net absolument aucun ne reprend cette information. c'est limite Énervant !!

    Répondre
  14. Murazaki

    Faudrait arrêter de parler de "Anonymous" à chaque fois qu'un anonyme fait quelque chose sur internet…

    Répondre
  15. @Murazaki : Ce n'est pas un "Anonymous" qui a fait le coup, comme expliqué dans l'article.

    Répondre
  16. Marc Hassin

    Que contenait le "Orange.fr Hacked Private Infos #2" ?

    Sauf erreur de ma part, la copie disponible ne nous apprend rien et ne contient rien de comparable à des informations extraites d'une BDD.

    Répondre
  17. Petite communication de la part d'Orange… je pense qu'ils cherchent encore réellement les conséquences de cette attaque.

    Répondre
  18. > Avec le compte admin d’une base,
    > tu as la main sur les données user
    > habituellement. Les données users
    > sont compromises.

    Pas toujours. Les données peuvent échapper à l’admin (de l’OS) en étant cryptées par un user du SGBD. Ce qui signifie que l’admin ne voit que… de la terrine. Ca se fait svt.

    Répondre

Laisser un commentaire