Avant propos :
Ce sujet est publié à titre informatif afin de démontrer le manque de sécurité (assez flagrant) dans l’infrastructure d’une société informatique dont le gérant d’auto-définit comme « hacker, expert & conférencier », sans oublier un discours commercial particulièrement trompeur.
J’ai masqué une partie des informations (domaines, adresses IP…) afin que je ne sois pas accusé de dévoiler une/des failles à un/des endroit(s) précis.
Ce sujet n’incite donc pas aux activités illégales, toute intrusion sur un STAD est punie sévèrement par la loi. Vous risqueriez plusieurs années de prison. Ne soyez pas idiots.
Dans l’épisode précédent, on avait vu que Jipoune était « consultant auprès de Digital Network » mais également « chercheur associé » dans un institut invisible.
Aujourd’hui, nous allons un peu nous attarder sur le cas de l’hébergeur Digital Network/Digital Netcom, un précédent article avait déjà traité de cette société et de sa particularité pour « laisser respirer » les répertoires qui ne doivent pas l’être.
Hop, on arrive rapidement à lister (en totalité ?) le réseau de Digital-Network :
(Liste non exhaustive, il s’agit juste de deux screens).
Digital Network/Digital Netcom fait de l’infogérence Infogérance totale ou partielle pour une multitude de clients, on a regardé ce qu’il y avait sur les serveurs en question, voici un petit florilège :
- Un index :
- Des pages de login : -sur une ip, -en clair, -avec une indication :
- Des pages de logins en clair :
- Mention spéciale pour cette page qui indique que « l’application est sécurisée » :
- Des pages de logins qui sont référencées par les moteurs de recherche :
- Une page de login de « système dédié digital » dont la config TLS est assez spéciale :
- Des pages de maintenance avec des fautes :
- Des pages de login phpMyAdmin en clair :
- Des configs SSL/TLS assez… exotiques :
- Ou des trucs qui se passent de commentaires (en clair bien sûr, tant qu’à faire):
Les screens ci-dessus sont-ils tous issus de serveurs infogérés ?
Ce qui craint d’autant plus, c’est que selon les références de Digital Network/Digital Netcom (j’en avais déjà parlé dans cet article) il y a quelques structures assez connues :
Si j’étais client chez Digital Network/Digital Netcom sur un serveur infogéré, je me poserai des questions sur l’incurie de certaines personnes vis-à-vis des prestations réalisées & des données confiées.
En attendant, 9 jours après le signalement initial, la plantureuse équipe d’experts-consultants-conférenciers autoproclamés en sécurité informatique n’a toujours pas trouvé comment masquer les répertoires qui doivent l’être.
Allez, encore un effort et tout sera au carré.
D’ici là, Jipoune (qui, rappelons-le est « consultant pour Digital Network« ) pourra éventuellement prodiguer quelques conseils…