Canal+ : de la fermeture d'un dépôt GitHub au piratage de l'un de ses serveurs

Canal+ : de la fermeture d’un dépôt GitHub au piratage de l’un de ses serveurs

La première requête DMCA était-elle trop bavarde ?

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

15/06/2015 3 minutes
18

Canal+ : de la fermeture d'un dépôt GitHub au piratage de l'un de ses serveurs

Canal+ aurait été victime d'un piratage de ses serveurs ayant entrainé une fuite de données de son nouveau logiciel de CRM. C'est en effet ce que laisse entendre une requête DMCA visant un dépôt GitHub, du moins avant sa modification.

Le nouveau logiciel de gestion de la relation client de Canal+ sur la sellette

Via une requête DMCA datée du 9 juin 2015, le groupe Canal+ a demandé, et obtenu, la fermeture d'un dépôt GitHub, comme l'indiquent nos confrères de TorrentFreak. Dans sa requête, le représentant légal de la chaine de télévision explique que toutes « les données et les codes publiés et contenus dans ce dépôt sont confidentiels et pourraient être utilisés pour voler des données personnelles de notre CRM ». Pour rappel, un CRM (Customer Relationship Management) est un logiciel de gestion de la relation client. Des informations personnelles de ces derniers pourraient donc s'y trouver, bien que cela ne soit pas précisé.

Pour le groupe la demande est simple : « la suppression d'urgence de ce dépôt ». Comme on peut désormais le constater, GitHub s'est exécuté. Fin de l'histoire ? Pas vraiment non puisque si on fouille un peu plus dans ce dépôt et sur la requête DMCA, on se rend compte que cette dernière a été modifiée le 9 juin avec la suppression d'une dizaine de lignes par rapport à la demande initiale du 3 juin, le reste étant identique :

Canal+ GitHub DMCA

Quand la requête DMCA est modifiée pour en alléger son contenu

« Le 22 mai 2015, nous avons eu une compromission sur notre projet AWS avec une clé d'accès, dont le but était de créer des bitcoins. Le 26 mai 2015, nous avons trouvé cette clé d'accès sur ce dépôt Github. La clé compromise est [privé]. Après analyse de ce dépôt, nous pouvons affirmer que tous les codes et les secrets contenus dans ce dépôt concernent le projet de Canal+. Depuis le 27 mai 2015, quatre demandes de retraits de contenu illicite ont été envoyées concernant Hooperp  » argumentait Canal+.

Mais le plus intéressant reste à venir : « Comme nous l'avons expliqué, "hooperp" a piraté un de nos serveurs et volé toutes les données et les codes de notre nouveau projet de logiciel de CRM: "Kiss deploy"  ». Le fin mot de cette histoire serait donc un piratage des serveurs de Canal+, bien que la mise à jour de la requête DMCA n'en fasse plus état. On rappellera que, pour le moment en France, seuls les opérateurs et les FAI ont une obligation de communiquer sur des fuites de données, ce qui n'est donc pas le cas de Canal+.

Difficile en l'état des choses de savoir la quantité de données dérobées et ce que Hooperp compte désormais en faire. Nos confrères de TorrentFreak précisent que GitHub s'est refusé à tout commentaire pour le moment.

De notre côté, nous avons évidemment tenté de contacter le service presse de Canal+, que ce soit par email ou par téléphone, afin d'avoir un retour de la chaine sur ce problème de sécurité, mais sans succès pour le moment. Nous mettrons cette actualité à jour dès que nous aurons eu un retour de sa part.

Canal+ GitHub DMCACanal+ GitHub DMCA
La requête DMCA telle qu'elle a été initialement publiée à gauche, la version allégée depuis le 9 juin à droite

 

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le nouveau logiciel de gestion de la relation client de Canal+ sur la sellette

Quand la requête DMCA est modifiée pour en alléger son contenu

Commentaires (18)


pourquoi mettre ça sur github?


Ouais, pas très malin. Autant faire un dépôt privé.








geekounet85 a écrit :



pourquoi mettre ça sur github?





bah l’auteur du piratage voulait probablement diffuser ce qu’il avait récupéré au plus grand nombre (supposition)



Comment canal+ a prouvé qu’il était le propriétaire du code mis en ligne ?


On présente Canal comme le chantre de la participation à la française (notamment culture), mais ça balance ses projets info sur Amazon sans sourciller. Et ça choque personne non plus ça…



(Sinon bah ça sent le piratage tout ce qu’il y a de plus classique, mais j’ai quand même du mal à comprendre la motivation derrière la publication sur GitHub)








geekounet85 a écrit :



pourquoi mettre ça sur github?





Parce qu’il avait peur que Sourceforge ajoute des adwares dans l’installeur ?&nbsp;<img data-src=" />



pour la propagation du hack.


sourceforge fait cela : demandes aux gars de gimp ce qu’ils en pensent !


… il faudrait passer “hooperp” sous maltego.


La fonction “éditer” est ton amie.








Obidoub a écrit :



Parce qu’il avait peur que Sourceforge ajoute des adwares dans l’installeur ?&nbsp;<img data-src=" />





made my day&nbsp;<img data-src=" />



???








Papa Panda a écrit :



Comment canal+ a prouvé qu’il était le propriétaire du code mis en ligne ?





La chaîne n’a pas besoin de le faire: Il ne s’agit pas d’une procédure judiciaire mais mais d’une procédure administrative. Il appartient à Github de prouver que Canal+ n’est pas propriétaire du code s’ils ne veulent pas exécuter la requête.



Dites, il n’y a que moi qui trouve bizarre que canal+ ait un projet pour miner des bitcoins? ou un truc du genre?

&nbsp;&nbsp;cf. “our AWS project with an access key in order to create bitcoin”








Hebus a écrit :



Dites, il n’y a que moi qui trouve bizarre que canal+ ait un projet pour miner des bitcoins? ou un truc du genre?

  cf. “our AWS project with an access key in order to create bitcoin”







Pkoi est-ce que canal + n’aurait pas le droit de miner des bitcoins ?









Hebus a écrit :



Dites, il n’y a que moi qui trouve bizarre que canal+ ait un projet pour miner des bitcoins? ou un truc du genre?

  cf. “our AWS project with an access key in order to create bitcoin”





faut lire la phrase en entier aussi…

“Le 22 mai 2015, nous avons eu une compromission sur notre projet AWS avec une clé d’accès, dont le but était de créer des bitcoins.” (cf actu…)



C’est le but de la compromission, pas du projet Amazon Web Service en tant que tel

Ce que je comprends comme




  • soit faire bosser les machines de Canal (d’Amazon en fait) pour miner (le + probable)

  • soit “patcher” le projet pour que ceux qui l’utilisent deviennent mineurs à l’insu de leur plein gré (peu crédible)





Oui effectivement ca doit être ça: détournement de l’infra AWS pour miner des bitcoins.


Han… Alors c’était eux…&nbsp;<img data-src=" />