J’ai masqué une partie des informations (domaines, adresses IP…) afin que je ne sois pas accusé de dévoiler une/des failles à un/des endroit(s) précis.
Ce sujet n’incite donc pas aux activités illégales, toute intrusion sur un STAD est punie sévèrement par la loi. Vous risqueriez plusieurs années de prison. Ne soyez pas idiots.
Hop, on arrive rapidement à lister (en totalité ?) le réseau de Digital-Network :
(Liste non exhaustive, il s’agit juste de deux screens).
Digital Network/Digital Netcom fait de l’infogérence Infogérance totale ou partielle pour une multitude de clients, on a regardé ce qu’il y avait sur les serveurs en question, voici un petit florilège :
Un index :
Des pages de login : -sur une ip, -en clair, -avec une indication :
Des pages de logins en clair :
Mention spéciale pour cette page qui indique que « l’application est sécurisée » :
Des pages de logins qui sont référencées par les moteurs de recherche :
Une page de login de « système dédié digital » dont la config TLS est assez spéciale :
Des pages de maintenance avec des fautes :
Des pages de login phpMyAdmin en clair :
Des configs SSL/TLS assez… exotiques :
Ou des trucs qui se passent de commentaires (en clair bien sûr, tant qu’à faire):
Les screens ci-dessus sont-ils tous issus de serveurs infogérés ?
Ce qui craint d’autant plus, c’est que selon les références de Digital Network/Digital Netcom (j’en avais déjà parlé dans cet article) il y a quelques structures assez connues :
Si j’étais client chez Digital Network/Digital Netcom sur un serveur infogéré, je me poserai des questions sur l’incurie de certaines personnes vis-à-vis des prestations réalisées & des données confiées.
En attendant, 9 jours après le signalement initial, la plantureuse équipe d’experts-consultants-conférenciers autoproclamés en sécurité informatique n’a toujours pas trouvé comment masquer les répertoires qui doivent l’être.
Allez, encore un effort et tout sera au carré.
D’ici là, Jipoune (qui, rappelons-le est « consultant pour Digital Network« ) pourra éventuellement prodiguer quelques conseils…
Avant-propos : Ce petit récit est basé sur des faits réels, documentés à partir de ce témoignages, photos, vidéos et articles de presse.Il n’a pas pour but direct ou indirect de dévoiler l’image de membres -supposés ou réels- de police ou d’un service de renseignement quelconque, de plus, ces derniers se présentent face caméra comme « journalistes indépendants ».
Comme dans une pièce de théatre, il y a des acteurs ou plutôt des comédiens (certains jouent très mal pour le coup), voici les personnages :
Personnage 1 : Streetpress :
Streepress est un média pure player lu principalement par les jeunes, il traite de larges sujets souvent repris dans les quotidiens nationaux, il est basé à Paris.
Personnage 2 :
Notre second personnage est une personne physique :
Nous le nommerons « Personnage 2 ».
Personnage 3 :
Le troisième acteur est également une personne physique, il a été le « collègue » de « personnage 2 » pendant une scène :
Nous le nommerons « Personnage 3 ».
Personnage 4 :
Notre quatrième acteur est Gaspard Glanz, reporter journaliste et fondateur de Taranis News, une agence de presse sous la forme SARL :
Personnage 5 : Le lama :
Acte 1, Scène 1 :
Depuis plus d’un mois, une mobilisation sociale est en cours concernant le projet de « Loi Travail » : A Paris, des manifestations ont lieu tous les Jeudis et/ou Samedis ainsi qu’un « sitting nocturne » sur le modèle type « Occupy » sur la place la la République : Nuit Debout.
Nous sommes à Paris, le 14 Avril 2016 sur le boulevard Magenta à proximité du numéro 95 vers 15 heures.
La manifestation est partie de Stallingrad, elle est calme, les journalistes avec les CRS sont postés tout devant, les jeunes à quelques mètres, et les syndicats un peu plus loin derrière.
Pendant que Gaspard Glanz réalise des plans, il remarque une personne assez étrange (personnage 2) à quelques mètres de lui : habillée avec un casque de scooter, sans sac et équipé de lunettes de protection en plastique (le même type utilisé en physique ou en éléctronique), il l’interpelle face caméra afin de lui confirmer si il est journaliste :
Personnage 2 affirme qu’il est journaliste mais refuse de donner son employeur, bon, c’est son droit me direz-vous.
La vidéo est postée avec un titre à la forme interrogative le lendemain, flic ou pas flic ? le débat est lancé, sur les internets ça commente & ça trolle, en attendant, personne ne reverra personnage 2.
Acte 2, Scène 1 :
Le 28 Février 2017, soit plus de dix mois après la scène sur le boulevard Magenta, une manifestation & blocus de lycéens/étudiants pour soutenir Théo, ça se passe toujours à Paris, c’est toujours Gaspard Glanz qui est à la caméra, la police nasse alors une petite partie des jeunes et procède à des contrôles & relevés d’identités.
Quand tout-à-coup, personnage 2 réapparaît !
Cette fois-ci sans appareil photo, caméra ou dictaphone, très étrange pour un journaliste…
Il est accompagné de personnage 3, qui se masque le visage mais sans aucun équipement de protection (étrange pour un journaliste, sachant qu’il n’y a pas de gaz lacrymogène…).
Personnage 3 attaque très rapidement, faute d’arguments sans doute – « Toi t’es taré mon pote » en s’adressant à Gaspard Glanz, qui lui demande où est son brassard de police.
Son interlocuteur lui répond :
– « Mais moi, je suis heuuu, jsuis indé, indépendant […] j’ai pas fait mon nombre d’heures pour avoir ma carte […]. »
Cette phrase montre bien la méconnaissance totale de personnage 3 à la fonction de journaliste ainsi qu’à l’attribution de la carte profesionnelle délivrée par le CCIJP.
Vous remarquerez l’apparition furtive du lama plusieurs fois au second plan.
Non sans avoir cogné dans la caméra de Gaspard Glanz un nombre important de fois et sans l’avoir menacé, la petite équipe menée par personnage 2 prend congé.
Alors que Gaspard Glanz filme la manifestation accompagné de StreetPress, il repère en amont sur les trottoirs personnage 3 ainsi que le lama et va à leur rencontre.
Très vite, personnage 3 afffirme qu’il n’est pas policier et attaque Gaspard Glanz en lui disant « qu’il cherche le sensationnel » –avec un petit Point Godwin au passage-, pourquoi adopter une telle attitude alors que l’on est censer s’adresser à un confrère ?
Face à Gaspard Glanz, la petite équipe affirme être journaliste, face à Amnesty International, ils ont tous perdu leur langue et affirment ne pas être journalistes…
Très vite, le lama entre en action, d’abord en cogant par deux fois avec violence la caméra de Gaspard Glanz (sans compter la tentative), ensuite le crachant dessus :
Gaspard Glanz prendra congé de la petite équipe, non sans avoir été traité de «tocard» et de «blaireau» par personnage 3.
Ah, Facebook avait censuré cette image, il me semble donc opportun de la poster ici :
que plusieurs lecteurs m’ont averti que l’hébergeur (Digital Network/Digital Netcom), du projet à Jean-Paul Ney (LeWeek.info), avait également quelques petits problèmes similaires à ceux dévoilés hier ici et là.
Ce qui laisse quand-même quelques courants d’air, et pas qu’un seul, voilà que Digital Network/Digital Netcom goûte à son tour aux joies de l’open data \o/ :
Le logo de la maintenance :
A défaut de masquer les répertoires qui devraient l’être, Network/Digital Netcom fait dans les mails cryptés :
Ce qui est rigolo, c’est que Digital Network/Digital Netcom fait « des tests d’intrusion, audit, conseil » toussa toussa mais semble ignorer l’utilité d’un fichier d’index dans les répertoires, ainsi que du .htaccess :
Ce qui est également drôle, c’est que le CEO & CTO se définit sur Twitter comme un hacker, fan de gnu-linux, d’open-source & d’infosec :
Et qu’il préfère tapper des selfies au lieu de pondre une conf propre :
Ce qui est encore plus drôle (ou qui fait peur, au choix), c’est que selon les références de cette société, il y a des types comme le mindef, celui de l’économie et des finances ou encore des boîtes assez connues :
En 2017, on peut donc être un hébergeur, mais ignorer à quoi sert un fichier d’index dans les répertoires, ainsi que l’éventuelle utilité d’un .htaccess.
A titre personnel, un hébergeur qui n’arrive pas à protéger ses clients et qui ne sait pas s’héberger en protégeant ses propres données correctement je n’appelle pas ça un hébergeur mais une incurie.
