Sécurité de debian-fr.org, et des forums en général

bonjour,
je viens de recevoir un mail de CCM, et vous ?
Son contenu est interessant :

[quote]Lettre d’information de Comment ça marche? du 29 août 2006
Edito
Bonjour,
Vous avez été nombreux à recevoir hier une lettre d’information provenant de CommentCaMarche avec le contenu suivant :

[quote]Je ne suis ni admin, ni modo de CCM, juste un visiteur qui passait par là.
Je voulais signaler la découverte d’un bug de sécurité, qui m’a permis d’envoyer ce message.
Merci.
@+ L’envoyeur masqué[/quote].
Un individu a en effet réussi à se connecter à la page d’envoi de la newsletter, qui est normalement protégée par un mécanisme de contrôle d’accès (htaccess). Cette faille permettant l’accès à l’interface d’envoi de la lettre d’information a été corrigée dès ce matin, le paragraphe ci-dessous décrit comment l’envoyeur masqué a pu être démasqué et comment l’analyse des journaux des serveurs ont permis d’identifier la vulnérabilité.
Je profite également de cette lettre pour donner quelques informations sur l’actualité du site CommentCaMarche.net !
Failles de sécurité
Le site CommentCaMarche fonctionn e sur plusieurs serveurs web derrière un répartiteur de charge. La ligne protégeant l’accès à ce répertoire était malheureusement absente dans le fichier de configuration d’un de ces serveurs.
Pour le retrouver, il a suffit de chercher dans les journaux d’activité des serveurs toutes les adresses IP s’étant connecté sur cette page. Il y a eu deux adresses IP à se connecter à cette page hier dont une ayant réussi à entrer dans l’interface (car le serveur a également chargé les images pour cette page). Il a donc suffit de reprendre cette adresse IP et de refaire son parcours sur les pages du site pour trouver la porte d’entrée et par la même occasion renforcer la sécurité du site !
Il s’agit de la première intrusion réussie sur les serveurs de CommentCaMarche.net en 7 ans, preuve que nul est à l’abri. Par chance il s’agit d’une vulnérabilité mineure ne donnant accès à aucun mot de passe, ni à aucune donnée du serveur.
Le message de cet utilisateur étant plutôt sympatique, aucune plainte ne sera donc déposée auprès de son fournisseur d’accès (Wanadoo / Plessis Bouchard) ! A titre d’information, si vous découvrez des failles sur des sites web, il est préférable d’en avertir l’administrateur au risque sinon d’être poursuivi en justice.
Pour plus d’information sur la méthodologie des pirates et les mécanismes de sécurité :
Méthodologie d’une intrusion sur un réseau : secumet

Connaître les différents types d’attaques et s’en protéger efficacement : attaques
N’hésitez pas à participer à la discussion traitant de ce sujet sur le forum:decouverte d un bug de securite sur ccm[/quote]
ça vous évoque quoi ? déjà arrivé sur debian-fr.org ?

Je doute que le gars utilise son plessis-bouchard pour pirater un site mais bon :unamused:
Au pire on te pique ton mot de passe pour ecrire des insanités… bof… et on choppe ton email d’inscription (qui pour mon cas est propre à debian-fr et je ne me suis jamais connecté dessus) pour t’identifier… ou on voit tes mps…[quote]
il est préférable d’en avertir l’administrateur au risque sinon d’être poursuivi en justice[/quote]
Pas sur qu’il puisse vraimment etre poursuivi pour clickage sur lien…

Sisi, c’est poursuivable comme intrusion dans un systême informatique protègé, d’autant plus qu’il a utilisé le dispositif d’une manière qui a pû porter préjudice à CCM.
Sinon, pas sûr que tous les admins soient aussi coulants qu’eux. Il y a des gars qui se sont retrouvé en tôle pour avoir testé et signalé des bugs de sécurité aux admins.
C’est dommage qu’il y ait des admins assez idiots pour avoir ce genre de reflexe, mais donc si vous trouvez une faille, trouvez aussi un moyen anonyme de la signaler.
Enfin, je ne pense pas que ce soit la politique ici de tirer sur les médecins, alors si c’est ici, vous pouvez la signaler tout de même (en privé bien sûr).

Protégé? Non. D’ailleurs la boite peut etre répréhensible si elle a pas pris les mesures adéquates.
Intrusion en tappant un lien avec mon IE msieu l’agent? Non

[quote] d’autant plus qu’il a utilisé le dispositif d’une manière qui a pû porter préjudice à CCM.
[/quote]
Là oui.

Certains le font par pression de leur direction et pour motiver leur utilité ou celle de leur nouvel detecteur d’intrusion. No comment… Chacun son metier.

[quote=“MattOTop”]Sisi, c’est poursuivable comme intrusion dans un systême informatique protègé, d’autant plus qu’il a utilisé le dispositif d’une manière qui a pû porter préjudice à CCM.
Sinon, pas sûr que tous les admins soient aussi coulants qu’eux. Il y a des gars qui se sont retrouvé en tôle pour avoir testé et signalé des bugs de sécurité aux admins.
C’est dommage qu’il y ait des admins assez idiots pour avoir ce genre de reflexe, mais donc si vous trouvez une faille, trouvez aussi un moyen anonyme de la signaler.
Enfin, je ne pense pas que ce soit la politique ici de tirer sur les médecins, alors si c’est ici, vous pouvez la signaler tout de même (en privé bien sûr).[/quote]

Dans le genre, j’avais fait un robot qui à chaque tentative d’intrusion du vers Opaserv (ou assimilé) sur ma passerelle, chopait l’IP du gars, reperérait la machine, montait son disque dur via smbmount, enlevait un fichier d’opaserv, mettait un message d’avertissement avec un lien vers l’outil de dévérolage (Symantex) sur le bureau (il a fallu que je trouve les différentes versions suivant les langues, ça a été le + dur) sur la racine. J’avais mis comme signature une adresse à messagerie.net. En 4 mois j’ai touché en gros 5000-6000 machines, j’ai eu plusieurs réponses, des remerciements, des demandes d’explications et des menaces de procès voire pire. Ces derniers étaient quand même minoritaires…

Protégé? Non. D’ailleurs la boite peut etre répréhensible si elle a pas pris les mesures adéquates.
Intrusion en tappant un lien avec mon IE msieu l’agent? Non(…)[/quote]Attend: une injection sql peut se faire avec ie, et c’est bien une attaque jugée comme telle.
Toi aussi, tu es comme les cretins de la DADVSI, tu confonds le logiciel et ce qu’on fait avec ?

Là, qu’il y ait eu une erreur de protection sur un serveur de la grappe n’est qu’une erreur de configuration, mais ça n’enlève pas la volonté de protèger avec les mesures adéquates. Il y aurait forcément une responsabilité, mais pas une culpabilité de quoi que ce soit en ce qui concerne la boite (rien de reprehensible et rien à réprimer). Parceque sinon, la responsabilité des intrusion, on pourrait aussi la faire porter au concepteur d’un serveur web qui laisse des failles de sécurité ou qui sais je encore.
Par contre, le gars qui a utilisé une interface d’admin (mal) protègée pour poster, il a utilisé illegalement un dispositif protègé. Que ce soit AMA avec ie, avec un script, ou avec ses pieds.

Superbe! Pourquoi ne pas en avoir profité pour placer un lien vers un OS plus sur et un tuto pour l’installer :smiley:

Sur votre débat je crois que matt a raison, tu peu etre considéré comme “pirate” quelque soit tes outils. cf le gars un peu avant 2000 qui se promène sur un site, change le chemin dans sa barre d’adresse (va vers la racine je suppose) et trouve une BDD client avec infos nominatives. Ils leur envoi un mail pour les prévenir et se retrouve avec un procès au cul pour intrusion.
Par contre il a gagné et ca a fait jurisprudence, donc je ne sais pas ou ils définissent l’intrusion maintenant. Mais l’outil, peu importe…

BB: pour eviter les malentendus, quand je dis que tu es “comme les crétins”, je ne te compares pas a eux sur ce point là, je veux juste dire que tu fais une confusion entre l’acte et les moyens utilisés pour l’accomplir. :wink:

Compris :wink: Mais j’apprecie sincérement la clarification, je suis susceptible :smiling_imp: :wink:
Disons que lors d’un jugement c’est plus nuancé que ca et acceder à une page web sur un serveur publique non protégé, c’est défendable dans les deux camps. Une injection sql c’est pas pareil.

Sinon fran.b, bravo pour ce que tu as fait mais je ne m’y risquerai pas meme si l’idée m’etait déja passé par la tete, c’est super risqué de faire ca!