Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Canal+ : de la fermeture d'un dépôt GitHub au piratage de l'un de ses serveurs

La première requête DMCA était-elle trop bavarde ?
Internet 3 min
Canal+ : de la fermeture d'un dépôt GitHub au piratage de l'un de ses serveurs
Crédits : alphaspirit/iStock

Canal+ aurait été victime d'un piratage de ses serveurs ayant entrainé une fuite de données de son nouveau logiciel de CRM. C'est en effet ce que laisse entendre une requête DMCA visant un dépôt GitHub, du moins avant sa modification.

Le nouveau logiciel de gestion de la relation client de Canal+ sur la sellette

Via une requête DMCA datée du 9 juin 2015, le groupe Canal+ a demandé, et obtenu, la fermeture d'un dépôt GitHub, comme l'indiquent nos confrères de TorrentFreak. Dans sa requête, le représentant légal de la chaine de télévision explique que toutes « les données et les codes publiés et contenus dans ce dépôt sont confidentiels et pourraient être utilisés pour voler des données personnelles de notre CRM ». Pour rappel, un CRM (Customer Relationship Management) est un logiciel de gestion de la relation client. Des informations personnelles de ces derniers pourraient donc s'y trouver, bien que cela ne soit pas précisé.

Pour le groupe la demande est simple : « la suppression d'urgence de ce dépôt ». Comme on peut désormais le constater, GitHub s'est exécuté. Fin de l'histoire ? Pas vraiment non puisque si on fouille un peu plus dans ce dépôt et sur la requête DMCA, on se rend compte que cette dernière a été modifiée le 9 juin avec la suppression d'une dizaine de lignes par rapport à la demande initiale du 3 juin, le reste étant identique :

Canal+ GitHub DMCA

Quand la requête DMCA est modifiée pour en alléger son contenu

« Le 22 mai 2015, nous avons eu une compromission sur notre projet AWS avec une clé d'accès, dont le but était de créer des bitcoins. Le 26 mai 2015, nous avons trouvé cette clé d'accès sur ce dépôt Github. La clé compromise est [privé]. Après analyse de ce dépôt, nous pouvons affirmer que tous les codes et les secrets contenus dans ce dépôt concernent le projet de Canal+. Depuis le 27 mai 2015, quatre demandes de retraits de contenu illicite ont été envoyées concernant Hooperp  » argumentait Canal+.

Mais le plus intéressant reste à venir : « Comme nous l'avons expliqué, "hooperp" a piraté un de nos serveurs et volé toutes les données et les codes de notre nouveau projet de logiciel de CRM: "Kiss deploy"  ». Le fin mot de cette histoire serait donc un piratage des serveurs de Canal+, bien que la mise à jour de la requête DMCA n'en fasse plus état. On rappellera que, pour le moment en France, seuls les opérateurs et les FAI ont une obligation de communiquer sur des fuites de données, ce qui n'est donc pas le cas de Canal+.

Difficile en l'état des choses de savoir la quantité de données dérobées et ce que Hooperp compte désormais en faire. Nos confrères de TorrentFreak précisent que GitHub s'est refusé à tout commentaire pour le moment.

De notre côté, nous avons évidemment tenté de contacter le service presse de Canal+, que ce soit par email ou par téléphone, afin d'avoir un retour de la chaine sur ce problème de sécurité, mais sans succès pour le moment. Nous mettrons cette actualité à jour dès que nous aurons eu un retour de sa part.

Canal+ GitHub DMCACanal+ GitHub DMCA
La requête DMCA telle qu'elle a été initialement publiée à gauche, la version allégée depuis le 9 juin à droite

 

18 commentaires
Avatar de Minikea INpactien
Avatar de MinikeaMinikea- 15/06/15 à 08:44:03

pourquoi mettre ça sur github?

Avatar de Vekin Abonné
Avatar de VekinVekin- 15/06/15 à 08:46:47

Ouais, pas très malin. Autant faire un dépôt privé.

Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 15/06/15 à 09:18:24

geekounet85 a écrit :

pourquoi mettre ça sur github?

bah l'auteur du piratage voulait probablement diffuser ce qu'il avait récupéré au plus grand nombre (supposition)

Avatar de anonyme_69736061fe834a059975aa425bebeb6d INpactien

Comment canal+ a prouvé qu'il était le propriétaire du code mis en ligne ?

Avatar de seboss666 Abonné
Avatar de seboss666seboss666- 15/06/15 à 09:26:23

On présente Canal comme le chantre de la participation à la française (notamment culture), mais ça balance ses projets info sur Amazon sans sourciller. Et ça choque personne non plus ça...

(Sinon bah ça sent le piratage tout ce qu'il y a de plus classique, mais j'ai quand même du mal à comprendre la motivation derrière la publication sur GitHub)

Avatar de Obidoub Abonné
Avatar de ObidoubObidoub- 15/06/15 à 09:59:25

geekounet85 a écrit :

pourquoi mettre ça sur github?

Parce qu'il avait peur que Sourceforge ajoute des adwares dans l'installeur ? :non:

Avatar de anonyme_97254becd5c5b064755d6772703ed968 INpactien

pour la propagation du hack.

Avatar de anonyme_97254becd5c5b064755d6772703ed968 INpactien

sourceforge fait cela : demandes aux gars de gimp ce qu'ils en pensent !

Avatar de anonyme_97254becd5c5b064755d6772703ed968 INpactien

... il faudrait passer "hooperp" sous maltego.

Avatar de Krogoth Abonné
Avatar de KrogothKrogoth- 15/06/15 à 10:58:14

La fonction "éditer" est ton amie.

Il n'est plus possible de commenter cette actualité.
Page 1 / 2