Wincorp Security Defense : Quand des incompétents se mettent à la cybersécurité

Il y a un peu moins de trois ans, Pierre Martinet, un ancien agent de la DGSE reconverti depuis près de 20 ans dans le privé a créé sa société : Wincorp Security Defense.

Cet adepte des déplacements en première classe en Côte d’Ivoire est aussi connu entres-autres pour atteinte au secret de la défense nationale, violation de domicile, atteinte à l’intimité de la vie privée pour avoir espionné Bruno Gaccio (ex-auteur des Guignols de l’info) et pour avoir fréquenté Jean-Paul Ney et commis un recel de violation du secret de l’enquête.

Parmi les différents domaines d’action de Wincorp Security Defense, notre rédaction s’est penchée sur la cybersécurité.

En effet, cette société propose son « expertise » dans ce domaine :

 

Capture d’écran de la page d’index de Wincorp Security Defense.

 

Capture d’écran de la page « a propos » de Wincorp Security Defense.

Captures d’écran de la page « cybersécurité » de Wincorp Security Defense.

 

Comme d’habitude, une sauvegarde des pages à été réalisée sur Archive.org ici (index), ici (à propos) et ici (cybersécurité).

Cependant, il y a quelque-chose qui coince.

En 2020, tu peux proposer tes services « d’accompagnement des clients dans la protection du secret et la sécurisation d’informations stratégiques pour éviter les conséquences désastreuses des attaques informatiques », tout en proposant des tests d’intrusion… et ignorer à quoi sert un fichier d’index dans les répertoires, l’éventuelle utilité d’un .htaccess ou encore les mises à jour des plug-ins.

C’est incroyable, mais c’est vrai, ce qui laisse quand-même quelques courants d’air, et pas qu’un seul.

Petite analyse du blog de Wincorp Security Defense (la liste est non exhaustive) :

  • Une page de login par défaut (on remarquera malgré tout l’anti-bruteforce) :

  • Répertoire /wp-content/uploads/ en accès libre :

  • Répertoire /wp-includes/ en accès libre :

  • Répertoire /wp-admin/ en accès libre :

  • Mais également :

– Le Plugin « contact-form-7 » non mis à jour (5.0.3 à la place de la 5.1.7), de plus, une vulnérabilité à été corrigée : « register_post_type() Privilege Escalation« .

– La possibilité de lister les utilisateurs.

 

Visiblement, les blogs aux fenêtres ouvertes sont légion chez les barbouzes.