DOX UMP : une injection SQL à l'origine du piratage des données UMP

Ho my...SQL 100
Marc Rees
Dans un communiqué posté sur PasteBin, les prétendus auteurs de la publication des données des personnalités UMP donnent des détails sur la motivation de leur acte.
« Nous sommes les auteurs de la publication des données "légèrement" privées des députés UMP, le désormais fameux "DoX-UMP" ».
En fait, les fameux fichiers – supprimés depuis sur Pastebin, ont aussi concerné des sénateurs ou encore des collaborateurs. Tous auraient cependant été constitués à partir des informations glanées sur des sites personnels de députés UMP. La suite du communiqué est alors plus consistante.
« Aucun site "institutionnel" n'a été attaqué, ni même visé ».
L’Assemblée nationale nous a indiqué hier avoir mené un audit sur ses serveurs, audit qui a conclu à l’absence de la moindre intrusion. Alors d’où viennent ces informations ?
« Les données sont issues d'une société d'hébergement & création de sites internet privée. (mes-*******.fr) » (URL anonymisée par nos soins).
Nous en attendons confirmation, la société spécialisée en maintenance informatique n'ayant pas daigné répondre à nos appels. Néanmoins, les premiers indices concordent : un des personnages politiques listés dans les quatre fichiers nous avait très tôt indiqué qu’une possible attaque avait été menée. Où ? On savait simplement qu’il s’agissait d’un site dont le nom était déposé chez OVH. Nous n’avions cependant eu aucune information sur le nom de ce site.

Le domaine Mes-*******.fr, déposé chez OVH, est utilisé par plusieurs personnalités politiques. A l’aide d'une requête Google, on remarque par exemple que Philippe Gosselin (UMP), Yves Censi (UMP), Marc Philippe Daubresse (UMP, secrétaire général adjoint), Christian Jacob (UMP), Nicole Ameline (UMP), Jean-Claude Bouchet (UMP), Christian Marin (UMP), Dominique Tian (UMP), Françoise Guégot (UMP), Martine Aurillac (UMP), Fabienne Labrette-Menager (UMP), Alfred Trassy-Paillogues (UMP) ou encore Didier Quentin (UMP) font appel à ses services pour leur site personnel. On trouve encore Thierry Mariani (UMP) dont le mandat est clos.

La liste n’est pas exhaustive...


dox UMP

Autre élément : le site Mes-*******.fr est inaccessible, comme le sont tous les sites des députés listés ci-dessus. Mes *******.fr est édité par une société « une habituée des sites UMP » apprend-on sur le web.

Mais comment a été trouvée la faille ?
« La faille a été découverte par un "google dork", il s'agit d'une faille SQL flagrante. L'exploitation de ce genre de faille s'apprend en quelques minutes avec google/youtube. Ces failles SQL étaient présentent sur ~30 sites personnels de personnalités de l'UMP. L'exploitation de cette faille nous a mené à plus de 160 bases de données, dont la plupart étaient directement liées avec l'UMP.  Dans ces bases de données, il y avait :

- des centaines (milliers?) de mails
- les identifiants confidentiels de ces députés pour se connecter à des extra/intranets
- certains identifiants confidentiels permettant de se connecter au portail privé de l'assemblée-nationale
».
Cette "faille SQL", en fait la possibilité d'injecter des requêtes SQL, a été dénichée à l’aide d’une simple fouille sur Google. Elle a donc permis, selon le communiqué, d’exploiter une faille béante sur ces serveurs. Une faille importante puisque...
« Nous AURIONS PU, en voyant tout ceci :
- écrire des mails en utilisant les adresses officiels de certains députés.
- tenter de pirater le site de l'assemblée-nationale "de l'intérieur".
- publier TOUTES les données aperçues sur ce serveur, contenu des mails identifiants & mot de passe compris.
- les vendre à des pays étrangers ? »
Quelles sont les motivations des auteurs de ces fichiers personnels ?
« Nous avons choisi de ne publier qu'une partie des données, expurgée de ce qu'il y avait de plus sensible. Nous souhaitions être entendu, chaque jour des centaines de personnes se font pirater leurs données privées transmises à des sociétés privées. Données, qui sont ensuite partagées sur le net, dans l'indifférence totale de ces sociétés privées piratées, et des responsables politiques. Mais ces citoyens ont rarement la chance de tomber sur des pirates qui ne dévoilent pas les mots de passes, ou le contenu de mails ».
Les questionnements s’amplifient lorsque le document sur Pastebin aborde l’antagonisme sécurisation et piratage : il est irresponsable de pirater, il l’est tout autant de ne pas sécuriser ses données personnelles… L'enquête permettra ainsi de dévoiler les mesures de sécurité mises en oeuvre par le prestataire au regard des impératifs de la CNIL.
« A ceux qui nous qualifient d' "irresponsables", et que ce piratage est "grave" nous tenons à demander : Qui est "irresponsable" ? Qu'est ce qui est "grave" ?
- Ce webmaster qui laisse quasi-ouvert son serveur MySql, qui utilise le même mot de passe PARTOUT, et qui semble très peu regardant quant à la sécurité des données qu'il héberge ?
- Certains députés, qui confient à ce webmaster privé leurs identifiants officiels de député ?
»
Un petit message est adressé par la même occasion à Muriel Marland Militello, auteur d'un communiqué dans le plus pur style de la maison, pour s’en prendre à ces « cybers-idéalistes », voire aux « cyber-voyous » à l'origine du leak :
« A ceux qui nous qualifient de "cyber-idéalistes attaquant la nation", nous tenons à dire que :
- Nous n'avons publié aucun mot de passe permettant d'accéder aux sites institutionnels, malgré leur présence dans la base de données.
- Nous sommes tombés par hasard (-google dork-) sur cette faille, nous avons regardé où elle menait par curiosité avant tout.
- Nous n'avons pas publié la faille en question, ce qui aurait permis à n'importe qui de s'emparer de toutes ces données.
- Nous n'avons ni attaqué ni visé aucun site institutionnel.
- Cyber-Idéalistes tout-court, pourquoi pas !
»
Alors, pourquoi avoir publié ces données ?
« Nous avons simplement profité de cette occasion pour mettre l'UMP en face de ses contradictions, situation tellement ironique.. Plus de fichiers = Plus de fuites. Et plus les fichiers sont "tendancieux", plus le risque de fuite sera grand ».
Le texte retrace un rapide historique sur le fichage en cours de 45 millions de personnes, via la carte nationale d’identité. Cette fameuse carte embarquant par défaut une puce régalienne contenant des données biométriques (empreintes digitales, photo du visage). Une carte que Claude Guéant aimerait connecter à une base centralisée autorisant les recherches dans tous les sens, par exemple l’identification à la volée des personnes prises en photo dans la rue. Le texte a été voté à l’Assemblée nationale avec un hémicycle fort de 11 parlementaires… Il vient d’être adopté en seconde lecture au Sénat et reviendra sous peu chez les députés.
« Il y a quelques mois une loi a été votée autorisant le "fichage de 45 millions de personnes honnêtes", lorsque 566 des 577 députés étaient ABSENTS ! Il y a quelques jours, Israel s'est "rendu compte" que les données privées de 9 millions de ses citoyens circulaient sur internet.

Plus de fichiers = Plus de fuites.

La gravité de notre piratage et des données rendues publiques, quelques sms, est quelques peu désuète quand on se pose les questions suivantes :
Que se serait-il passé si ce piratage était l'oeuvre d'un pays étranger, pas forcément très amical, qui aurait pu ainsi envoyer/recevoir des mails avec l'adresse officielle de membres du gouvernement ?

Que se serait-il passé si ce piratage avait mené à un piratage de tout le site du groupe UMP ou du site l'assemblée nationale et compromettante surement des données réellement sensibles ?

Nous n'avons rien sauvegardé de ce que nous avons vu dans ces bases de données, il n'y aura pas d'autres publications de données de notre part. Nous sommes certes un peu moqueurs, mais pas plus que les personnes visées dans nos premières publications, non ?

Nous ne sommes pas des ennemis des institutions. Nous n'appelons pas à la haine, mais nous soutenons les luttes citoyennes, et même parfois, les luttes "par effraction"!

Moralité :

"Plus de fichiers = Plus de fuites."


DoX-UMP
»