Digital Network/Digital Netcom : Quand on se pose réelement des questions…

Avant propos :

Ce sujet est publié à titre informatif afin de démontrer le manque de sécurité (assez flagrant) dans l’infrastructure d’une société informatique dont le gérant d’auto-définit comme “hacker, expert & conférencier”, sans oublier un discours commercial particulièrement trompeur.

J’ai masqué une partie des informations (domaines, adresses IP…) afin que je ne sois pas accusé de dévoiler une/des failles à un/des endroit(s) précis.

Ce sujet n’incite donc pas aux activités illégales, toute intrusion sur un STAD est punie sévèrement par la loi. Vous risqueriez plusieurs années de prison. Ne soyez pas idiots.


Dans l’épisode précédent, on avait vu que Jipoune était “consultant auprès de Digital Network” mais également “chercheur associé” dans un institut invisible.

Aujourd’hui, nous allons un peu nous attarder sur le cas de l’hébergeur Digital Network/Digital Netcom, un précédent article avait déjà traité de cette société et de sa particularité pour “laisser respirer” les répertoires qui ne doivent pas l’être.

Hop, on arrive rapidement à lister (en totalité ?) le réseau de Digital-Network :

(Liste non exhaustive, il s’agit juste de deux screens).

Digital Network/Digital Netcom fait de l’infogérence Infogérance totale ou partielle pour une multitude de clients, on a regardé ce qu’il y avait sur les serveurs en question, voici un petit florilège :

  • Un index :

  • Des pages de login : -sur une ip, -en clair, -avec une indication :

  • Des pages de logins en clair :

  • Mention spéciale pour cette page qui indique que “l’application est sécurisée” :

  • Des pages de logins qui sont référencées par les moteurs de recherche :

  • Une page de login de “système dédié digital” dont la config TLS est assez spéciale :

 

  • Des pages de maintenance avec des fautes :

 

  • Des pages de login phpMyAdmin en clair :

  • Des configs SSL/TLS assez… exotiques :

  • Ou des trucs qui se passent de commentaires (en clair bien sûr, tant qu’à faire):

Les screens ci-dessus sont-ils tous issus de serveurs infogérés ?

Ce qui craint d’autant plus, c’est que selon les références de Digital Network/Digital Netcom (j’en avais déjà parlé dans cet article) il y a quelques structures assez connues :

Si j’étais client chez Digital Network/Digital Netcom sur un serveur infogéré, je me poserai des questions sur l’incurie de certaines personnes vis-à-vis des prestations réalisées & des données confiées.

En attendant, 9 jours après le signalement initial, la plantureuse équipe d’experts-consultants-conférenciers autoproclamés en sécurité informatique n’a toujours pas trouvé comment masquer les répertoires qui doivent l’être.

Allez, encore un effort et tout sera au carré.

D’ici là, Jipoune (qui, rappelons-le est “consultant pour Digital Network“) pourra éventuellement prodiguer quelques conseils…


StreetPress, Gaspard Glanz, le lama et ses copains

Avant-propos : Ce petit récit est basé sur des faits réels, documentés à partir de ce témoignages, photos, vidéos et articles de presse. Il n’a pas pour but direct ou indirect de dévoiler l’image de membres -supposés ou réels- de police ou d’un service de renseignement quelconque, de plus, ces derniers se présentent face caméra comme “journalistes indépendants”.

Enfin, je considère que droit à l’information prime sur le droit à l’image vu qu’il s’agit d’un sujet traité comme d’actualité, que la scène se déroule sur l’espace public et que les acteurs se présentent se présentent face caméra comme “journalistes indépendants”.


Une petite histoire assez abracadabrantesque s’est déroulée le mois dernier.

Elle prend sa source il y a un an tout juste, en plein mouvement de manifestations contre la loi travail.

Comme dans une pièce de théatre, il y a des acteurs ou plutôt des comédiens (certains jouent très mal pour le coup), voici les personnages :

Personnage 1 : Streetpress :

Streepress est un média pure player lu principalement par les jeunes, il traite de larges sujets souvent repris dans les quotidiens nationaux, il est basé à Paris.

Personnage 2 :

Notre second personnage est une personne physique :

Nous le nommerons “Personnage 2”.

Personnage 3 : 

Le troisième acteur est également une personne physique, il a été le “collègue” de “personnage 2” pendant une scène :

Nous le nommerons “Personnage 3”.

Personnage 4 :

Notre quatrième acteur est Gaspard Glanz, reporter journaliste et fondateur de Taranis News, une agence de presse sous la forme SARL :

Personnage 5 : Le lama :

Acte 1, Scène 1 :

Depuis plus d’un mois, une mobilisation sociale est en cours concernant le projet de “Loi Travail” : A Paris, des manifestations ont lieu tous les Jeudis et/ou Samedis ainsi qu’un “sitting nocturne” sur le modèle type “Occupy” sur la place la la République : Nuit Debout.

Nous sommes à Paris, le 14 Avril 2016 sur le boulevard Magenta à proximité du numéro 95 vers 15 heures.

La manifestation est partie de Stallingrad, elle est calme, les journalistes avec les CRS sont postés tout devant, les jeunes à quelques mètres, et les syndicats un peu plus loin derrière.

Pendant que Gaspard Glanz réalise des plans, il remarque une personne assez étrange (personnage 2) à quelques mètres de lui : habillée avec un casque de scooter, sans sac et équipé de lunettes de protection en plastique (le même type utilisé en physique ou en éléctronique), il l’interpelle face caméra afin de lui confirmer si il est journaliste :

Personnage 2 affirme qu’il est journaliste mais refuse de donner son employeur, bon, c’est son droit me direz-vous.

La vidéo est postée avec un titre à la forme interrogative le lendemain, flic ou pas flic ? le débat est lancé, sur les internets ça commente & ça trolle, en attendant, personne ne reverra personnage 2.

Acte 2, Scène 1 :

Le 28 Février 2017, soit plus de dix mois après la scène sur le boulevard Magenta, une manifestation & blocus de lycéens/étudiants pour soutenir Théo, ça se passe toujours à Paris, c’est toujours Gaspard Glanz qui est à la caméra, la police nasse alors une petite partie des jeunes et procède à des contrôles & relevés d’identités.

Quand tout-à-coup, personnage 2 réapparaît !

Cette fois-ci sans appareil photo, caméra ou dictaphone, très étrange pour un journaliste…

Il est accompagné de personnage 3, qui se masque le visage mais sans aucun équipement de protection (étrange pour un journaliste, sachant qu’il n’y a pas de gaz lacrymogène…).

Personnage 3 attaque très rapidement, faute d’arguments sans doute – “Toi t’es taré mon pote” en s’adressant à Gaspard Glanz, qui lui demande où est son brassard de police.

Son interlocuteur lui répond :

– “Mais moi, je suis heuuu, jsuis indé, indépendant […] j’ai pas fait mon nombre d’heures pour avoir ma carte […].”

Cette phrase montre bien la méconnaissance totale de personnage 3 à la fonction de journaliste ainsi qu’à l’attribution de la carte profesionnelle délivrée par le CCIJP.

En effet, selon les conditions d’attribution de la Commission de la Carte d’Identité des Journalistes Professionnels, il n’est aucunement question de “nombres d’heures” comme l’affirme personnage 3 mais de critères “d’occupation”, de “ressources financières” et “d’activités dans le cadre de la profession” :

Vous remarquerez l’apparition furtive du lama plusieurs fois au second plan.

Non sans avoir cogné dans la caméra de Gaspard Glanz un nombre important de fois et sans l’avoir menacé, la petite équipe menée par personnage 2 prend congé.

Acte 3, Scène 1 :

Dimanche 19 Mars 2017, nous sommes encore et toujours à Paris, sur le boulevard Voltaire cette fois-ci, à proximité du numéro 159, en ce dimanche, il y a une marche “pour la dignité, contre le racisme & les violences policières».

Alors que Gaspard Glanz filme la manifestation accompagné de StreetPress, il repère en amont sur les trottoirs personnage 3 ainsi que le lama et va à leur rencontre.

Très vite, personnage 3 afffirme qu’il n’est pas policier et attaque Gaspard Glanz en lui disant “qu’il cherche le sensationnel” –avec un petit Point Godwin au passage-, pourquoi adopter une telle attitude alors que l’on est censer s’adresser à un confrère ?

Face à Gaspard Glanz, la petite équipe affirme être journaliste, face à Amnesty International, ils ont tous perdu leur langue et affirment ne pas être journalistes…

Et face à StreetPress ? la petite équipe admet être membre de la police.

Acte 3, Scène 2 :

Très vite, le lama entre en action, d’abord en cogant par deux fois avec violence la caméra de Gaspard Glanz (sans compter la tentative), ensuite le crachant dessus :

Gaspard Glanz prendra congé de la petite équipe, non sans avoir été traité de «tocard» et de  «blaireau» par personnage 3.

Ah, Facebook avait censuré cette image, il me semble donc opportun de la poster ici :

 


Crédits images : Taranis News, Gaspard Glanz, Clique.tv.


Digital Network/Digital Netcom : Quand un hébergeur ne sait pas s’héberger correctement

Alerte spoiler : Le digital (ta mère) est partout, même dans le nom de la société.

C’est suite à ce tweet disponible dans cet article :

que plusieurs lecteurs m’ont averti que l’hébergeur (Digital Network/Digital Netcom), du projet à Jean-Paul Ney (LeWeek.info), avait également quelques petits problèmes similaires à ceux dévoilés hier ici et .

Ce qui laisse quand-même quelques courants d’air, et pas qu’un seul, voilà que Digital Network/Digital Netcom goûte à son tour aux joies de l’open data \o/ :

 

Le logo de la maintenance :

 

A défaut de masquer les répertoires qui devraient l’être, Network/Digital Netcom  fait dans les mails cryptés :

Ce qui est rigolo, c’est que Digital Network/Digital Netcom fait “des tests d’intrusion, audit, conseil” toussa toussa mais semble ignorer l’utilité d’un fichier d’index dans les répertoires, ainsi que du .htaccess :

Ce qui est également drôle, c’est que le CEO & CTO se définit sur Twitter comme un hacker, fan de gnu-linux, d’open-source & d’infosec :

Et qu’il préfère tapper des selfies au lieu de pondre une conf propre :

Ce qui est encore plus drôle (ou qui fait peur, au choix), c’est que selon les références de cette société, il y a des types comme le mindef, celui de l’économie et des finances ou encore des boîtes assez connues  :

En 2017, on peut donc être un hébergeur,  mais ignorer à quoi sert un fichier d’index dans les répertoires, ainsi que l’éventuelle utilité d’un .htaccess.

A titre personnel, un hébergeur qui n’arrive pas à protéger ses clients et qui ne sait pas s’héberger en protégeant ses propres données correctement je n’appelle pas ça un hébergeur mais une incurie.

(Photo repérée par JeanPaulGlute).


Tout est bon dans le Macron (oupas).

En 2017, il y a encore des gens qui ignorent à quoi sert un fichier .htaccess, ou qu’il fallait une page d’index dans les répertoires pour éviter que l’on puisse en lister le contenu.ce qui laisse quand même quelques courants d’air, et pas qu’un seul.

Les barbares-hackers-capuches-digitaux-russes-ukrainiens ont encore attaqué un des sites de Macron, celui des djeunz cette fois-ci :

On peut y trouver 2/3 choses intéressantes comme un log d’erreur contenant la désinscription des mails :

Un petit certificat :

Extrait :

De la petite propagande du prince :

Ou encore un discours retranscrit :

Discours qu’il est possible de télécharger ici au format PDF.

Rien de très grave, mais les amis de Reflets.info ont trouvé d’autres choses, un peu plus sensibles, comme des adresses mail de sympathisants :

 

Au détour d’un autre fichier, ce sont les utilisateurs qui créent le contenu qui apparaissent, avec leurs mails :

 

Crédits deux dernières images : L’article de Reflets.info “Macron, les Russes, les jeunes et le gruyère…”

Téléchargez le fichier...