Digital Network/Digital Netcom : Quand on se pose réelement des questions…

Avant propos :

Ce sujet est publié à titre informatif afin de démontrer le manque de sécurité (assez flagrant) dans l’infrastructure d’une société informatique dont le gérant d’auto-définit comme “hacker, expert & conférencier”, sans oublier un discours commercial particulièrement trompeur.

J’ai masqué une partie des informations (domaines, adresses IP…) afin que je ne sois pas accusé de dévoiler une/des failles à un/des endroit(s) précis.

Ce sujet n’incite donc pas aux activités illégales, toute intrusion sur un STAD est punie sévèrement par la loi. Vous risqueriez plusieurs années de prison. Ne soyez pas idiots.


Dans l’épisode précédent, on avait vu que Jipoune était “consultant auprès de Digital Network” mais également “chercheur associé” dans un institut invisible.

Aujourd’hui, nous allons un peu nous attarder sur le cas de l’hébergeur Digital Network/Digital Netcom, un précédent article avait déjà traité de cette société et de sa particularité pour “laisser respirer” les répertoires qui ne doivent pas l’être.

Hop, on arrive rapidement à lister (en totalité ?) le réseau de Digital-Network :

(Liste non exhaustive, il s’agit juste de deux screens).

Digital Network/Digital Netcom fait de l’infogérence Infogérance totale ou partielle pour une multitude de clients, on a regardé ce qu’il y avait sur les serveurs en question, voici un petit florilège :

  • Un index :

  • Des pages de login : -sur une ip, -en clair, -avec une indication :

  • Des pages de logins en clair :

  • Mention spéciale pour cette page qui indique que “l’application est sécurisée” :

  • Des pages de logins qui sont référencées par les moteurs de recherche :

  • Une page de login de “système dédié digital” dont la config TLS est assez spéciale :

 

  • Des pages de maintenance avec des fautes :

 

  • Des pages de login phpMyAdmin en clair :

  • Des configs SSL/TLS assez… exotiques :

  • Ou des trucs qui se passent de commentaires (en clair bien sûr, tant qu’à faire):

Les screens ci-dessus sont-ils tous issus de serveurs infogérés ?

Ce qui craint d’autant plus, c’est que selon les références de Digital Network/Digital Netcom (j’en avais déjà parlé dans cet article) il y a quelques structures assez connues :

Si j’étais client chez Digital Network/Digital Netcom sur un serveur infogéré, je me poserai des questions sur l’incurie de certaines personnes vis-à-vis des prestations réalisées & des données confiées.

En attendant, 9 jours après le signalement initial, la plantureuse équipe d’experts-consultants-conférenciers autoproclamés en sécurité informatique n’a toujours pas trouvé comment masquer les répertoires qui doivent l’être.

Allez, encore un effort et tout sera au carré.

D’ici là, Jipoune (qui, rappelons-le est “consultant pour Digital Network“) pourra éventuellement prodiguer quelques conseils…


Digital Network/Digital Netcom : Quand un hébergeur ne sait pas s’héberger correctement

Alerte spoiler : Le digital (ta mère) est partout, même dans le nom de la société.

C’est suite à ce tweet disponible dans cet article :

que plusieurs lecteurs m’ont averti que l’hébergeur (Digital Network/Digital Netcom), du projet à Jean-Paul Ney (LeWeek.info), avait également quelques petits problèmes similaires à ceux dévoilés hier ici et .

Ce qui laisse quand-même quelques courants d’air, et pas qu’un seul, voilà que Digital Network/Digital Netcom goûte à son tour aux joies de l’open data \o/ :

 

Le logo de la maintenance :

 

A défaut de masquer les répertoires qui devraient l’être, Network/Digital Netcom  fait dans les mails cryptés :

Ce qui est rigolo, c’est que Digital Network/Digital Netcom fait “des tests d’intrusion, audit, conseil” toussa toussa mais semble ignorer l’utilité d’un fichier d’index dans les répertoires, ainsi que du .htaccess :

Ce qui est également drôle, c’est que le CEO & CTO se définit sur Twitter comme un hacker, fan de gnu-linux, d’open-source & d’infosec :

Et qu’il préfère tapper des selfies au lieu de pondre une conf propre :

Ce qui est encore plus drôle (ou qui fait peur, au choix), c’est que selon les références de cette société, il y a des types comme le mindef, celui de l’économie et des finances ou encore des boîtes assez connues  :

En 2017, on peut donc être un hébergeur,  mais ignorer à quoi sert un fichier d’index dans les répertoires, ainsi que l’éventuelle utilité d’un .htaccess.

A titre personnel, un hébergeur qui n’arrive pas à protéger ses clients et qui ne sait pas s’héberger en protégeant ses propres données correctement je n’appelle pas ça un hébergeur mais une incurie.

(Photo repérée par JeanPaulGlute).