France Télévisions colmate une énorme fuite de données

France Télévisions colmate une énorme fuite de données

il suffisait de cliquer pour tout récupérer

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

15/04/2015 5 minutes
50

France Télévisions colmate une énorme fuite de données

Les fuites de données peuvent principalement avoir deux causes : des pirates informatiques comme dans le cas de Labio.fr, ou bien des brèches béantes côté serveur comme récemment à la SNCF. Le cas de France Télévisions s'inscrit clairement dans la seconde catégorie puisque de nombreux documents étaient simplement accessibles via une URL.

La semaine dernière, TV5Monde était victime d'une importante cyberattaque qui a conduit au défacement de ses comptes sur les réseaux sociaux et à un écran noir de plusieurs heures sur les onze chaines du groupe. Comme nous l'avons détaillé dans cette actualité, son origine n'est pas encore connue avec certitude pour l'instant. Mais une affaire en chasse une autre et c'est désormais au tour de France Télévisions d'être au cœur de la tourmente avec une importante fuite de données.

France Télévisions : un site beaucoup trop bavard

Le groupe de pirates Linker Squad indique avoir en leur possession des bases de données provenant de FranceTV, mais sans donner plus de détails sur le contenu de celles-ci. « Nous comptons revendre au départ et ensuite partager toutes les informations comprises dans la BDD » nous précisent-ils. Plus inquiétant, pour arriver à leur fin les pirates n'ont pas eu besoin d'user de stratagème et a fortiori d'avoir recours à une cyberattaque : une simple URL suffisait en effet pour récolter les données laissées à l'air libre.

De notre côté, nous avons également pu constater la fuite de données sur le site de France Télévisions. Via une URL de la forme « http://www.francetelevisions.fr/xxx/ » on pouvait en effet accéder à un listing complet de répertoires et de sous répertoires, alors que cela ne devait évidemment pas être le cas. Des modifications ont été apportées ces derniers jours puisqu'on obtient désormais une erreur 403 Forbidden, mais le cache de Google est encore actif et permet donc de naviguer dans une bonne partie de l'arborescence du site de France Télévisions.

Contacté par nos soins, le groupe confirme le problème. La chaine de télévision nous précise que  le listing des répertoires n'est plus accessible depuis le mois de février, une période durant laquelle des opérations de « sécurisation assez massives » ont été mises en place. Pour rappel, la France était alors la cible de nombreuses cyberattaques (voir notre 14h42 sur le sujet). Problème, le cache de Google n'a pas été mis à jour depuis des semaines et des fichiers étaient toujours accessibles.

1,2 Go de dump, 110 000 adresses emails et bien d'autres données librement accessibles

Dans l'un des répertoires, également accessible via le cache de Google, on pouvait ainsi accéder à des dizaines de dump de bases de données, dont trois de plus de 400 Mo chacun et datant de décembre 2013. Interrogé sur leur contenu, le groupe nous précise que les données ne sont pas sensibles puisqu'il s'agit d'ID (identifiant) et de chemin pour les vidéos de ses partenaires.

Plus embêtant, on trouve également des fichiers XML sur les restrictions géographiques imposées par FranceTV sur certaines de ses vidéos, des listes de comptes Facebook, Google et Twitter avec d'anciens tokens associés et même un fichier CSV avec près de 110 000 adresses emails qui était utilisé pour l'une de leurs newsletter, etc. 

FranceTVFranceTVFranceTV
Quelques exemples de données en fuite

France Télévisions corrige le tir et informera ses utilisateurs

Les dumps des bases de données ont été retirés hier matin aux alentours de 11h, mais ce n'était pas encore le cas du fichier CSV par exemple. Ce dernier était finalement inaccessible en fin de journée. De son côté, le groupe nous confirmait que toutes les données sensibles sont hors de portée depuis hier soir aux alentours de 19h. Bien évidemment, nous avons attendu que cette fuite soit intégralement colmatée avant de publier cette actualité. 

France Télévision nous précise que toutes les personnes dont l'email et/ou des données personnelles ont été laissés à l'air libre seront contactées afin d'être informées de la situation, le risque étant toujours le même : du phishing. Le groupe nous précise au passage que, sur l'échantillon qu'ils ont analysé, rien ne laisse penser qu'il y aurait des mots de passe. Aucune donnée bancaire n'est également de la partie.

La chaine de télévision nous concède qu'elle n'est « pas au bon niveau d'anticipation » dans cette histoire, mais qu'elle « a la capacité de réagir ». En effet, le problème a été corrigé dans la journée. Pour le moment, aucune demande de rançon (ou autre) ne semble par contre avoir été formulée par le groupe de pirates.

Quoi qu'il en soit, France Télévisions France déposera une plainte. Mais le groupe étant un OIV (Opérateur d'importance vitale), l'ANSSI est évidemment sur la brèche. Entre TV5Monde et France TV, l'Agence nationale de la sécurité des systèmes d'information a décidément du pain sur la planche.

France Télévision

50

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

France Télévisions : un site beaucoup trop bavard

1,2 Go de dump, 110 000 adresses emails et bien d'autres données librement accessibles

France Télévisions corrige le tir et informera ses utilisateurs

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (50)


LOL

Google: “site:francetelevisions.fr index of”

Le pire c’est que Google a pu s’y rendre automatiquement, le lien était donc accessible et visible sur les pages poussées au public.


Un tel niveau d’amateurisme de la part d’un tel groupe, c’est quand même affolant… 2015 l’année du piratage ?


Franchement c’est la honte pour les tech lead et admin sys…








ALkyD a écrit :



Un tel niveau d’amateurisme de la part d’un tel groupe, c’est quand même affolant… 2015 l’année du piratage ?







ce que j’aime surtout c’est la réponse :

“on anticipe pas mais on réagit !”



Tu peux pas leur reprocher de faire amende honorable, c’est loin d’être le cas d’autres sites et groupes bien plus gravement piratés…


Administration système niveau CP


“Cours de .htaccess” is the new “Options binaires”. Ça devrait rapporter tellement que le besoin est énorme.


“La chaine de télévision nous précise que  le listing…”

 

Je pinaille, mais dirai plutôt: “Le groupement de télévisions publiques”, ça n’est pas identifié à une chaîne en particulier…


C’est une faute lourde du DSI de France Télévision, pour moi c’est la porte …

 


Tu m’étonnes tout le fric part dans les stars et les paillettes.



De toutes les manières, l’informatique est perçue comme un coût et non un gain de productivité en France.


Ils doivent être heureux les gars de l’ANSSI a réparer ce genre de PEKBAC.

Des oreilles vont siffler, des têtes vont tomber.








labs a écrit :



“Cours de .htaccess” is the new “Options binaires”. Ça devrait rapporter tellement que le besoin est énorme.





Avec la montée en puissance de nginx pas sur que ce soit très pertinent.



C’est un peu trop bas niveau pour qu’un DSI ait une quelconque vue dessus. Là ça relève plus du sysadmin.



Mais je sens que des cours d’administration et des notions de sécurité ne seraient pas du luxe chez certaines personnes du groupe


Les pages d’erreurs de france télévision rédigées en anglais…les gros flemmards quoi.


C’est quand même très inquiétant ce genre d’erreur…



question peut-être naïve, mais dans les cas ou des white-hat tombent ce genre de failles et préviennent les entreprises, sont-ils pris au sérieux? Sont-ils remerciés/rémunérés?


Un white-hat qui tombe sur ce genre de faille se fait d’abord raillé puis envoyé chier…



S’il persiste à publier les failles pour forcer la main il fini devant un juge pour piratage !


C’est de la responsabilité du DSI de s’assurer qu’il a mis les bonnes personnes sur les bonnes tâches à accomplir.

Il est payé pour ça et très bien payé même.

 

 








kypd a écrit :



Un white-hat qui tombe sur ce genre de faille se fait d’abord raillé puis envoyé chier…



S’il persiste à publier les failles pour forcer la main il fini devant un juge pour piratage !







S’il ne reçoit pas la visite des flics déjà lors de la première phase.



Bon là clairement c’est loin d’être pardonnable… Après ayant déjà presté pour le public, les personnes propulsées responsables sécurité avec zéro compétence en la matière c’est pas rare…



On fait les paris que qu’ils vont mettre ca sur le dos :



* Du stagiaire

* D’un prestataire exterieur

* Des pirates vendeur de beurre aux allemand







Pitoyable … <img data-src=" />








megatom a écrit :



Franchement c’est la honte pour les tech lead et admin sys…





De ce que je comprends, le plus gros WTF est de ne pas avoir pensé au cache google.

“le listing des répertoires n’est plus accessible depuis le mois de février, … , le cache de Google n’a pas été mis à jour depuis des semaines”

2 mois après la correction, la faille provient actuellement de google.



Ils auraient donc du soit demander un refresh du cache forcé en février ou modifier dès février leurs fichiers pour que le cache ne soit plus valide. (et encore, je suppose que via le cache on accède -en cache- aux documents.)



Tout comme dans le privé : on peut notamment citer le DSI de Sony qui avait été placé là alors qu’il n’y connaissait rien du tout. J’ai aussi quelques exemples dans le privé où soit le comité de direction a placé des personnes a des postes où elles étaient clairement incompétente (de leur propre aveux) ou alors payé des prestations à des sociétés qui ont ramené la plus jolie commerciale/le plus beau voyage/la plus grosse TV/la meilleure caisse de champagne/…


La prochaine fois qu’ils envoient leurs stagiaires suivre une formation chez les djihadistes








jimmy_36 a écrit :



C’est de la responsabilité du DSI de s’assurer qu’il a mis les bonnes personnes sur les bonnes tâches à accomplir.

Il est payé pour ça et très bien payé même.

&nbsp;

&nbsp;





Le DSI, il prévient la direction qu’il a besoin de ressources compétentes pour assurer les mises à jour internes, surveiller la mise en place de tous les nouveaux outils, de vérifier que les bonnes pratiques ont bien été mis en oeuvre, etc.



Comme dit plus haut, le SI étant perçu comme un coût et non comme un investissement à long terme, la direction lui donne un budget insuffisant et il se retrouve avec des juniors, des stagiaires, des bidouilleurs pour répondre aux demandes… et c’est très souvent mal fait.



&nbsp;Je suis pas DSI, c’est du vécu indirectement…



Oui déjà vu aussi dans le privé.



Après c’est l’intérêt des sociétés de service… Difficile en interne d’être expert en tout.

Faut juste signer avec la bonne… Mais j’ai déjà remarqué que les grands comptes s’échangent souvent des retours d’expérience.


Par curiosité j’ai fait une recherche sur site:tf1.fr index of

https://bilan-carbone.tf1.fr/

C’est moi où ils ont leur seedbox interne ? :)


Quand on voit ce que les SSII vendent comme “expert”…


Avec toutes ces fuites, peut-etre que les entreprises vont enfin se doter d’admin competents et avec des moyens. C’est fou comme, meme dans les grands groupes, il y a en place des politiques absurdes et une qualite aussi mauvaise. Le plus gros probleme est surtout que l’admin n’a personne de competent dans son domaine au dessus de lui… donc personne ne l’evalue, donc tout continue.



desole pour les accents… clavier qwerty


Put mais les enc …&nbsp;



Voir ça sur un site comme TF1, c’est juste pitoyable. Surtout que TF1 soutient à mort la redevance copie-privée !&nbsp;

Ca mériterait une petite news public çan juste pour le fun de voir TF1 qui fait du torrent avec Ajaxplorer pour récupérer les fichiers téléchargés.&nbsp;

Faudrait juste savoir ce qu’ils téléchargent -&gt; du libre de droits ou pas …&nbsp;


Une vraie honte…


bon on remarque qu’a 3h09 personne ne bosse chez FTélé, a par cron








tibibs a écrit :



Avec toutes ces fuites, peut-etre que les entreprises vont enfin se doter d’admin competents et avec des moyens. C’est fou comme, meme dans les grands groupes, il y a en place des politiques absurdes et une qualite aussi mauvaise. Le plus gros probleme est surtout que l’admin n’a personne de competent dans son domaine au dessus de lui… donc personne ne l’evalue, donc tout continue.



desole pour les accents… clavier qwerty





Ou alors elles vont demander à Steria ou Sopra (ou autre) qui leur refilera un super “expert” (2 jours de formation, pas d’expérience pratique) qui gèrera le truc <img data-src=" />







Krogoth a écrit :



Quand on voit ce que les SSII vendent comme “expert”…





ah bah… grilled du coup



ben avec la tête de gagnant de&nbsp;Pierre Pflimlin&nbsp;et ses sbir rien d étonnant .


France 2 opérateur d’importance vitale?

LOL.


C’est ca quand on considère l’informatique comme un hobby en France..



;)


plutot, oula c’est super compliqué ! j’ai bien fait de faire l’ENA !




son&nbsp;origine n’est pas encore connue avec certitude pour l’instant



Mais c’est officiellement un simple cas de fishing, avec des fautes de français énôrmes (à en croire les images de BFM).

Je croyais que des journalistes feraient des efforts dans ce domaine, ben non. <img data-src=" />








Jean-Luc Skywalker a écrit :



Tu m’étonnes tout le fric part dans les stars et les paillettes.



De toutes les manières, l’informatique est perçue comme un coût et non un gain de productivité en France.







pas qu’en France









ALkyD a écrit :



Un tel niveau d’amateurisme de la part d’un tel groupe, c’est quand même affolant… 2015 l’année du piratage ?







En même temps, y a tellement de boites ou le service informatique n’est pas reconnu ou écouté.&nbsp;

On a le même status que les secrétaires. Beaucoup de taf, sans nous c’est la cata… et une reconnaissance proche du zéro.&nbsp;

Va savoir si le staff n’a pas arrêté de dire qu’il fallait faire une opération de maintenance ou une montée de version car ancienne obsolète et pleine de failles.









sscrit a écrit :



bon on remarque qu’a 3h09 personne ne bosse chez FTélé, a par cron





Déjà le DSI peut réclamer sa prime : le backup est bien effectué quotidiennement… <img data-src=" />



(quand je pense que je fais la même… <img data-src=" />)



a priori le site originel est consultable sur archive.org :



&nbsphttps://web.archive.org/web/20091213041307/http://bilan-carbone.tf1.fr/



transformer le bilan carbone en seedbox, bravo les mecs :)








Krogoth a écrit :



Quand on voit ce que les SSII vendent comme “expert”…





En tant que presta bossant en SSII, je dirais que c’est aussi le travail du client de s’assurer que le commercial ne lui vende pas de la merde. Perso je donne toujours des contacts de référence où je suis passé.



D’où le fait que je disais que les grands comptes s’échangent souvent des retours d’expérience, je l’ai régulièrement constaté au fil de mes passages chez les clients.



cela me rappelle un certain bluetouff.


+1 Haha la dernière fois que j’ai laissé involontairement Google indexer du contenu sur un serveur de développement, j’ai dû tout invalider URL par URL. &nbsp;J’ai dû me taper&nbsp;environ 100-300 demandes de suppression.








dematbreizh a écrit :



De ce que je comprends, le plus gros WTF est de ne pas avoir pensé au cache google.

“le listing des répertoires n’est plus accessible depuis le mois de février, … , le cache de Google n’a pas été mis à jour depuis des semaines”

2 mois après la correction, la faille provient actuellement de google.



Ils auraient donc du soit demander un refresh du cache forcé en février ou modifier dès février leurs fichiers pour que le cache ne soit plus valide. (et encore, je suppose que via le cache on accède -en cache- aux documents.)





À la limite le cache Google n’est pas un problème s’ils ont réellement sécurisé les données, ce qu’ils n’avaient pas fait avant aujourd’hui.



La présence de l’index facilite l’accès à ces fichiers, mais même sans l’index disponible, il suffit de connaître le nom du fichier pour y accéder s’il n’y a pas d’autres mesures : hors de ce que je comprends de la news, la majorité de ces fichiers ne devraient pas être accessibles du tout sauf pour certaines personnes particulières. Le fait qu’en février ils se soient contentés de désactiver l’index et n’aient rien fait d’autres montrent que ce sont vraiment des branques qui ont juste fait le minimum en espérant que ça passe…



La seedbox chez TF1 c’est encore un coup du salarié viré alors qu’il était contre hadopi.

Sinon,on voit bien une application du principe de dilbert, les techniciens ou sys admin restent à leur poste mais les incompétents sont responsables.








tibibs a écrit :



Avec toutes ces fuites, peut-etre que les entreprises vont enfin se doter d’admin competents et avec des moyens. C’est fou comme, meme dans les grands groupes, il y a en place des politiques absurdes et une qualite aussi mauvaise. Le plus gros probleme est surtout que l’admin n’a personne de competent dans son domaine au dessus de lui… donc personne ne l’evalue, donc tout continue.



desole pour les accents… clavier qwerty





Là c’est même pas un problème de manque d’admin compétents, mais d’avoir des admins complètement incompétents.



Franchement ?

Bien fait , à tous , pour leurs gueules !

On n’écoutes jamais les gaziers….



La France pays où ce sont les mauvais qui commandent, qui dirigent , qui supervisent : ouaih bien fait pour vos gueules. France de manager de daube.



Même quand tu veux monter ta boite pour faire avancer le problème et bien ces même manager ; ces gérants , ces calculateurs te dézinguent , te piquent les contrats en grugeant avec leurs fourberies. Ne parlons pas des charges pour les petits. un systéme fait par les pourris pour les pourris !



La cause ? je la subit depuis 20 ans !

Toujours le même discours :

“Comment vous n’avez pas de diplôme d’ingénieur ? vous ne sortez pas de cette grande écoles ? désolé on ne vous prends pas monsieur.”



La france pays ou ce sont les mauvais qui sont à l’honneur : eh bien vous y êtes à l’honneur … alors bien fait pour vos tronches.



La belle et grande France des dîplomes : bouffez en, jusqu’a à en vomir, votre bile.



Détail : On vous dit de migrer vers le logiciels libre … MAIS NON vous avez encore et toujours raison … CONTINUEZ à vous votrer …


Les torrents ne servent pas qu’au piratage.

C’est le système de transfert de fichier le plus performant. Genre Facebook s’en sert pour diffuser ses MAJ…

Demain, les Ayant-Droits diffuseront leurs œuvres de cette façon qu’ils répudient encore.



Bref, France Television n’est pas un OIV, France Inter n’est pas un service publique, il faut arrêter le bullshit.

Je ne comprend pas que vous fassiez du bénévolat pour sécuriser les biens de sociétés qui disposent d’une rente sur nos têtes.

Je ne comprend pas.

Vous voulez pas regarder ailleurs? Si vous trouvez la faille permettant à un pirate d’exploiter les boites noires de Cazeneuve, vous aidez à corriger le problème, vous “collaborez”, ou vous vous en servez en douce pour aider à le neutraliser, vous “résistez”?

Vraiment besoin de savoir.

C’est quoi qu’on gagne là? C’est le boulot d’autres non?

Quand France Tv va demander une perquiz’ chez vous pour vérifier que vos disques n’ont pas de traces de leurs datas, une plainte genre maintient illégal dans un système informatique pourri comme Blutouff?

Déjà entendu parler de sélection naturelle?? <img data-src=" />


Va falloir apprendre à faire une recherche Google (et à lire), le PDG de FTV c’est REMY Pfilmlin, pas Pierre, décédé en 2000.