Category Archives: Fail

Brève : Quand la Délégation Interministérielle des Français d’Outre-Mer fait la publicité de dérives sectaires avec de l’argent public.

Posted on by

Thérapies de l’âme, guérison par le son sacré vibratoire, rééquilibration énergétique, harmonisation des chakras … : Quand la Délégation Interministérielle des Français d’Outre-Mer fait la publicité de dérives sectaires avec de l’argent public.

 

L’histoire est à dormir debout !

Le 3 juin, un message provenant du compte de cette délégation interministérielle est publié sur Facebook. Ses éléments de langage sont plus qu’intrigants : ils annoncent qu’ils réaliseront une conférence en ligne pour « retrouver son bien-être intérieur et l’épanouissement » en faisant usage de la « pensée positive pour révéler la meilleure version de soi-même ».

Cet article s’attachera à montrer la portée pseudo-thérapeutique et bullshitique se cachant derrière ces termes, sous couvert de « médecine traditionnelle » et de développement personnel :

Capture d’écran de la publication sponsorisée.

Apparaît également sur leur publication la mention « sponsorisé », ce qui signifie que ce service étatique paie Facebook pour que son message ait davantage de visibilité.

Drôle utilisation de l’argent public.

Alors que la Miviludes manque de moyens et sera prochainement dissoute de sa forme actuelle, la Délégation Interministérielle des Français d’Outre-Mer gaspille l’argent public dans la promotion de pratiques infondées, dangereuses et à risque de dérives sectaires.

Le pire dans cette histoire ? Mathieu Repiquet, le twittos qui a découvert et alerté s’est retrouvé bloqué par le compte de Délégation Interministérielle des Français d’Outre-Mer :

 

Bref, toute l’histoire est publiée par Mathieu Repiquet sur son blog : Lorsque l’État donne une vitrine aux pseudo-thérapies ésotériques.

Wincorp Security Defense : Quand des incompétents se mettent à la cybersécurité

Posted on by

Il y a un peu moins de trois ans, Pierre Martinet, un ancien agent de la DGSE reconverti depuis près de 20 ans dans le privé a créé sa société : Wincorp Security Defense.

Cet adepte des déplacements en première classe en Côte d’Ivoire est aussi connu entres-autres pour atteinte au secret de la défense nationale, violation de domicile, atteinte à l’intimité de la vie privée pour avoir espionné Bruno Gaccio (ex-auteur des Guignols de l’info) et pour avoir fréquenté Jean-Paul Ney et commis un recel de violation du secret de l’enquête.

Parmi les différents domaines d’action de Wincorp Security Defense, notre rédaction s’est penchée sur la cybersécurité.

En effet, cette société propose son “expertise” dans ce domaine :

 

Capture d’écran de la page d’index de Wincorp Security Defense.

 

Capture d’écran de la page “a propos” de Wincorp Security Defense.

Captures d’écran de la page “cybersécurité” de Wincorp Security Defense.

 

Comme d’habitude, une sauvegarde des pages à été réalisée sur Archive.org ici (index), ici (à propos) et ici (cybersécurité).

Cependant, il y a quelque-chose qui coince.

En 2020, tu peux proposer tes services “d’accompagnement des clients dans la protection du secret et la sécurisation d’informations stratégiques pour éviter les conséquences désastreuses des attaques informatiques”, tout en proposant des tests d’intrusion… et ignorer à quoi sert un fichier d’index dans les répertoires, l’éventuelle utilité d’un .htaccess ou encore les mises à jour des plug-ins.

C’est incroyable, mais c’est vrai, ce qui laisse quand-même quelques courants d’air, et pas qu’un seul.

Petite analyse du blog de Wincorp Security Defense (la liste est non exhaustive) :

  • Une page de login par défaut (on remarquera malgré tout l’anti-bruteforce) :

  • Répertoire /wp-content/uploads/ en accès libre :

  • Répertoire /wp-includes/ en accès libre :

  • Répertoire /wp-admin/ en accès libre :

  • Mais également :

– Le Plugin “contact-form-7” non mis à jour (5.0.3 à la place de la 5.1.7), de plus, une vulnérabilité à été corrigée : “register_post_type() Privilege Escalation“.

– La possibilité de lister les utilisateurs.

 

Visiblement, les blogs aux fenêtres ouvertes sont légion chez les barbouzes.

 

Alexandre Benalla et son blog aux fenêtres ouvertes

Posted on by

Hier, nous avons découvert par l’intermédiaire de son compte Twitter que notre barbouze préféré avait ouvert son blog :

Bien évidemment, nous avons regardé cela d’un peu plus près.

Le nom de domaine a été enregistré il y a un peu plus d’un mois, quand au blog, il semble être hébergé sur le service d’hébergement mutualisé d’OVH (visiblement c’est la hess pour Alex) quand à la config TLS elle est correcte, sans doute fournie par défaut par OVH.

Mais, les fenêtres sont ouvertes chez Alex :

Une page de login par défaut (et sans anti-bruteforce) :

Les répertoires des plugins en accès libre :

Répertoire uploads en open data :

Répertoire includes également en open data :

Visiblement, entre la mise au sol d’un individu, le port public et sans droit d’insignes réglementées, le port non autorisé d’ames de catégorie B etc… et les index/ .htaccess il y a un point commun : c’est pas encore ça.

Contacté en public sur Twitter, Alexandre Benalla n’a pas répondu mais a aimé les tweets.

Peu de temps après, dans le courant de la nuit, l’ensemble avait été corrigé à la va-vite.

Cependant, nous pouvons légitimement nous inquiéter en remarquant que le l’entreprie fondé par Benalla (Comya) fournit des expertises dans le domaine (entres-autres) du “Cyber et de la Tech” :

Mais également en Anglais sur le site de la société Comya :

En espérant qu’ils aient d’autres “con-sultants” compétents…