Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

France Télévisions colmate une énorme fuite de données

il suffisait de cliquer pour tout récupérer

France Télévisions colmate une énorme fuite de données

Le 15 avril 2015 à 07h40

Les fuites de données peuvent principalement avoir deux causes : des pirates informatiques comme dans le cas de Labio.fr, ou bien des brèches béantes côté serveur comme récemment à la SNCF. Le cas de France Télévisions s'inscrit clairement dans la seconde catégorie puisque de nombreux documents étaient simplement accessibles via une URL.

La semaine dernière, TV5Monde était victime d'une importante cyberattaque qui a conduit au défacement de ses comptes sur les réseaux sociaux et à un écran noir de plusieurs heures sur les onze chaines du groupe. Comme nous l'avons détaillé dans cette actualité, son origine n'est pas encore connue avec certitude pour l'instant. Mais une affaire en chasse une autre et c'est désormais au tour de France Télévisions d'être au cœur de la tourmente avec une importante fuite de données.

France Télévisions : un site beaucoup trop bavard

Le groupe de pirates Linker Squad indique avoir en leur possession des bases de données provenant de FranceTV, mais sans donner plus de détails sur le contenu de celles-ci. « Nous comptons revendre au départ et ensuite partager toutes les informations comprises dans la BDD » nous précisent-ils. Plus inquiétant, pour arriver à leur fin les pirates n'ont pas eu besoin d'user de stratagème et a fortiori d'avoir recours à une cyberattaque : une simple URL suffisait en effet pour récolter les données laissées à l'air libre.

De notre côté, nous avons également pu constater la fuite de données sur le site de France Télévisions. Via une URL de la forme « http://www.francetelevisions.fr/xxx/ » on pouvait en effet accéder à un listing complet de répertoires et de sous répertoires, alors que cela ne devait évidemment pas être le cas. Des modifications ont été apportées ces derniers jours puisqu'on obtient désormais une erreur 403 Forbidden, mais le cache de Google est encore actif et permet donc de naviguer dans une bonne partie de l'arborescence du site de France Télévisions.

Contacté par nos soins, le groupe confirme le problème. La chaine de télévision nous précise que  le listing des répertoires n'est plus accessible depuis le mois de février, une période durant laquelle des opérations de « sécurisation assez massives » ont été mises en place. Pour rappel, la France était alors la cible de nombreuses cyberattaques (voir notre 14h42 sur le sujet). Problème, le cache de Google n'a pas été mis à jour depuis des semaines et des fichiers étaient toujours accessibles.

1,2 Go de dump, 110 000 adresses emails et bien d'autres données librement accessibles

Dans l'un des répertoires, également accessible via le cache de Google, on pouvait ainsi accéder à des dizaines de dump de bases de données, dont trois de plus de 400 Mo chacun et datant de décembre 2013. Interrogé sur leur contenu, le groupe nous précise que les données ne sont pas sensibles puisqu'il s'agit d'ID (identifiant) et de chemin pour les vidéos de ses partenaires.

Plus embêtant, on trouve également des fichiers XML sur les restrictions géographiques imposées par FranceTV sur certaines de ses vidéos, des listes de comptes Facebook, Google et Twitter avec d'anciens tokens associés et même un fichier CSV avec près de 110 000 adresses emails qui était utilisé pour l'une de leurs newsletter, etc. 

FranceTVFranceTVFranceTV
Quelques exemples de données en fuite

France Télévisions corrige le tir et informera ses utilisateurs

Les dumps des bases de données ont été retirés hier matin aux alentours de 11 h, mais ce n'était pas encore le cas du fichier CSV par exemple. Ce dernier était finalement inaccessible en fin de journée. De son côté, le groupe nous confirmait que toutes les données sensibles sont hors de portée depuis hier soir aux alentours de 19 h. Bien évidemment, nous avons attendu que cette fuite soit intégralement colmatée avant de publier cette actualité. 

France Télévision nous précise que toutes les personnes dont l'email et/ou des données personnelles ont été laissés à l'air libre seront contactées afin d'être informées de la situation, le risque étant toujours le même : du phishing. Le groupe nous précise au passage que, sur l'échantillon qu'ils ont analysé, rien ne laisse penser qu'il y aurait des mots de passe. Aucune donnée bancaire n'est également de la partie.

La chaine de télévision nous concède qu'elle n'est « pas au bon niveau d'anticipation » dans cette histoire, mais qu'elle « a la capacité de réagir ». En effet, le problème a été corrigé dans la journée. Pour le moment, aucune demande de rançon (ou autre) ne semble par contre avoir été formulée par le groupe de pirates.

Quoi qu'il en soit, France Télévisions France déposera une plainte. Mais le groupe étant un OIV (Opérateur d'importance vitale), l'ANSSI est évidemment sur la brèche. Entre TV5Monde et France TV, l'Agence nationale de la sécurité des systèmes d'information a décidément du pain sur la planche.

France Télévision

Commentaires (50)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Tout comme dans le privé : on peut notamment citer le DSI de Sony qui avait été placé là alors qu’il n’y connaissait rien du tout. J’ai aussi quelques exemples dans le privé où soit le comité de direction a placé des personnes a des postes où elles étaient clairement incompétente (de leur propre aveux) ou alors payé des prestations à des sociétés qui ont ramené la plus jolie commerciale/le plus beau voyage/la plus grosse TV/la meilleure caisse de champagne/…

votre avatar

La prochaine fois qu’ils envoient leurs stagiaires suivre une formation chez les djihadistes

votre avatar







jimmy_36 a écrit :



C’est de la responsabilité du DSI de s’assurer qu’il a mis les bonnes personnes sur les bonnes tâches à accomplir.

Il est payé pour ça et très bien payé même.

 

 





Le DSI, il prévient la direction qu’il a besoin de ressources compétentes pour assurer les mises à jour internes, surveiller la mise en place de tous les nouveaux outils, de vérifier que les bonnes pratiques ont bien été mis en oeuvre, etc.



Comme dit plus haut, le SI étant perçu comme un coût et non comme un investissement à long terme, la direction lui donne un budget insuffisant et il se retrouve avec des juniors, des stagiaires, des bidouilleurs pour répondre aux demandes… et c’est très souvent mal fait.



 Je suis pas DSI, c’est du vécu indirectement…


votre avatar

Oui déjà vu aussi dans le privé.



Après c’est l’intérêt des sociétés de service… Difficile en interne d’être expert en tout.

Faut juste signer avec la bonne… Mais j’ai déjà remarqué que les grands comptes s’échangent souvent des retours d’expérience.

votre avatar

Par curiosité j’ai fait une recherche sur site:tf1.fr index of

https://bilan-carbone.tf1.fr/

C’est moi où ils ont leur seedbox interne ? :)

votre avatar

Quand on voit ce que les SSII vendent comme “expert”…

votre avatar

Avec toutes ces fuites, peut-etre que les entreprises vont enfin se doter d’admin competents et avec des moyens. C’est fou comme, meme dans les grands groupes, il y a en place des politiques absurdes et une qualite aussi mauvaise. Le plus gros probleme est surtout que l’admin n’a personne de competent dans son domaine au dessus de lui… donc personne ne l’evalue, donc tout continue.



desole pour les accents… clavier qwerty

votre avatar

Put mais les enc … 



Voir ça sur un site comme TF1, c’est juste pitoyable. Surtout que TF1 soutient à mort la redevance copie-privée ! 

Ca mériterait une petite news public çan juste pour le fun de voir TF1 qui fait du torrent avec Ajaxplorer pour récupérer les fichiers téléchargés. 

Faudrait juste savoir ce qu’ils téléchargent -> du libre de droits ou pas … 

votre avatar

Une vraie honte…

votre avatar

bon on remarque qu’a 3h09 personne ne bosse chez FTélé, a par cron

votre avatar







tibibs a écrit :



Avec toutes ces fuites, peut-etre que les entreprises vont enfin se doter d’admin competents et avec des moyens. C’est fou comme, meme dans les grands groupes, il y a en place des politiques absurdes et une qualite aussi mauvaise. Le plus gros probleme est surtout que l’admin n’a personne de competent dans son domaine au dessus de lui… donc personne ne l’evalue, donc tout continue.



desole pour les accents… clavier qwerty





Ou alors elles vont demander à Steria ou Sopra (ou autre) qui leur refilera un super “expert” (2 jours de formation, pas d’expérience pratique) qui gèrera le truc <img data-src=" />







Krogoth a écrit :



Quand on voit ce que les SSII vendent comme “expert”…





ah bah… grilled du coup


votre avatar

ben avec la tête de gagnant de&nbsp;Pierre Pflimlin&nbsp;et ses sbir rien d étonnant .

votre avatar

France 2 opérateur d’importance vitale?

LOL.

votre avatar

C’est ca quand on considère l’informatique comme un hobby en France..



;)

votre avatar

plutot, oula c’est super compliqué ! j’ai bien fait de faire l’ENA !

votre avatar



son&nbsp;origine n’est pas encore connue avec certitude pour l’instant



Mais c’est officiellement un simple cas de fishing, avec des fautes de français énôrmes (à en croire les images de BFM).

Je croyais que des journalistes feraient des efforts dans ce domaine, ben non. <img data-src=" />

votre avatar

LOL

Google: “site:francetelevisions.fr index of”

Le pire c’est que Google a pu s’y rendre automatiquement, le lien était donc accessible et visible sur les pages poussées au public.

votre avatar

Un tel niveau d’amateurisme de la part d’un tel groupe, c’est quand même affolant… 2015 l’année du piratage ?

votre avatar

Franchement c’est la honte pour les tech lead et admin sys…

votre avatar







ALkyD a écrit :



Un tel niveau d’amateurisme de la part d’un tel groupe, c’est quand même affolant… 2015 l’année du piratage ?







ce que j’aime surtout c’est la réponse :

“on anticipe pas mais on réagit !”


votre avatar







Jean-Luc Skywalker a écrit :



Tu m’étonnes tout le fric part dans les stars et les paillettes.



De toutes les manières, l’informatique est perçue comme un coût et non un gain de productivité en France.







pas qu’en France


votre avatar







ALkyD a écrit :



Un tel niveau d’amateurisme de la part d’un tel groupe, c’est quand même affolant… 2015 l’année du piratage ?







En même temps, y a tellement de boites ou le service informatique n’est pas reconnu ou écouté.&nbsp;

On a le même status que les secrétaires. Beaucoup de taf, sans nous c’est la cata… et une reconnaissance proche du zéro.&nbsp;

Va savoir si le staff n’a pas arrêté de dire qu’il fallait faire une opération de maintenance ou une montée de version car ancienne obsolète et pleine de failles.


votre avatar







sscrit a écrit :



bon on remarque qu’a 3h09 personne ne bosse chez FTélé, a par cron





Déjà le DSI peut réclamer sa prime : le backup est bien effectué quotidiennement… <img data-src=" />



(quand je pense que je fais la même… <img data-src=" />)


votre avatar

a priori le site originel est consultable sur archive.org :



&nbsphttps://web.archive.org/web/20091213041307/http://bilan-carbone.tf1.fr/



transformer le bilan carbone en seedbox, bravo les mecs :)

votre avatar
votre avatar







Krogoth a écrit :



Quand on voit ce que les SSII vendent comme “expert”…





En tant que presta bossant en SSII, je dirais que c’est aussi le travail du client de s’assurer que le commercial ne lui vende pas de la merde. Perso je donne toujours des contacts de référence où je suis passé.



D’où le fait que je disais que les grands comptes s’échangent souvent des retours d’expérience, je l’ai régulièrement constaté au fil de mes passages chez les clients.


votre avatar

cela me rappelle un certain bluetouff.

votre avatar

+1 Haha la dernière fois que j’ai laissé involontairement Google indexer du contenu sur un serveur de développement, j’ai dû tout invalider URL par URL. &nbsp;J’ai dû me taper&nbsp;environ 100-300 demandes de suppression.

votre avatar







dematbreizh a écrit :



De ce que je comprends, le plus gros WTF est de ne pas avoir pensé au cache google.

“le listing des répertoires n’est plus accessible depuis le mois de février, … , le cache de Google n’a pas été mis à jour depuis des semaines”

2 mois après la correction, la faille provient actuellement de google.



Ils auraient donc du soit demander un refresh du cache forcé en février ou modifier dès février leurs fichiers pour que le cache ne soit plus valide. (et encore, je suppose que via le cache on accède -en cache- aux documents.)





À la limite le cache Google n’est pas un problème s’ils ont réellement sécurisé les données, ce qu’ils n’avaient pas fait avant aujourd’hui.



La présence de l’index facilite l’accès à ces fichiers, mais même sans l’index disponible, il suffit de connaître le nom du fichier pour y accéder s’il n’y a pas d’autres mesures : hors de ce que je comprends de la news, la majorité de ces fichiers ne devraient pas être accessibles du tout sauf pour certaines personnes particulières. Le fait qu’en février ils se soient contentés de désactiver l’index et n’aient rien fait d’autres montrent que ce sont vraiment des branques qui ont juste fait le minimum en espérant que ça passe…


votre avatar

La seedbox chez TF1 c’est encore un coup du salarié viré alors qu’il était contre hadopi.

Sinon,on voit bien une application du principe de dilbert, les techniciens ou sys admin restent à leur poste mais les incompétents sont responsables.

votre avatar







tibibs a écrit :



Avec toutes ces fuites, peut-etre que les entreprises vont enfin se doter d’admin competents et avec des moyens. C’est fou comme, meme dans les grands groupes, il y a en place des politiques absurdes et une qualite aussi mauvaise. Le plus gros probleme est surtout que l’admin n’a personne de competent dans son domaine au dessus de lui… donc personne ne l’evalue, donc tout continue.



desole pour les accents… clavier qwerty





Là c’est même pas un problème de manque d’admin compétents, mais d’avoir des admins complètement incompétents.


votre avatar

Franchement ?

Bien fait , à tous , pour leurs gueules !

On n’écoutes jamais les gaziers….



La France pays où ce sont les mauvais qui commandent, qui dirigent , qui supervisent : ouaih bien fait pour vos gueules. France de manager de daube.



Même quand tu veux monter ta boite pour faire avancer le problème et bien ces même manager ; ces gérants , ces calculateurs te dézinguent , te piquent les contrats en grugeant avec leurs fourberies. Ne parlons pas des charges pour les petits. un systéme fait par les pourris pour les pourris !



La cause ? je la subit depuis 20 ans !

Toujours le même discours :

“Comment vous n’avez pas de diplôme d’ingénieur ? vous ne sortez pas de cette grande écoles ? désolé on ne vous prends pas monsieur.”



La france pays ou ce sont les mauvais qui sont à l’honneur : eh bien vous y êtes à l’honneur … alors bien fait pour vos tronches.



La belle et grande France des dîplomes : bouffez en, jusqu’a à en vomir, votre bile.



Détail : On vous dit de migrer vers le logiciels libre … MAIS NON vous avez encore et toujours raison … CONTINUEZ à vous votrer …

votre avatar

Les torrents ne servent pas qu’au piratage.

C’est le système de transfert de fichier le plus performant. Genre Facebook s’en sert pour diffuser ses MAJ…

Demain, les Ayant-Droits diffuseront leurs œuvres de cette façon qu’ils répudient encore.



Bref, France Television n’est pas un OIV, France Inter n’est pas un service publique, il faut arrêter le bullshit.

Je ne comprend pas que vous fassiez du bénévolat pour sécuriser les biens de sociétés qui disposent d’une rente sur nos têtes.

Je ne comprend pas.

Vous voulez pas regarder ailleurs? Si vous trouvez la faille permettant à un pirate d’exploiter les boites noires de Cazeneuve, vous aidez à corriger le problème, vous “collaborez”, ou vous vous en servez en douce pour aider à le neutraliser, vous “résistez”?

Vraiment besoin de savoir.

C’est quoi qu’on gagne là? C’est le boulot d’autres non?

Quand France Tv va demander une perquiz’ chez vous pour vérifier que vos disques n’ont pas de traces de leurs datas, une plainte genre maintient illégal dans un système informatique pourri comme Blutouff?

Déjà entendu parler de sélection naturelle?? <img data-src=" />

votre avatar

Va falloir apprendre à faire une recherche Google (et à lire), le PDG de FTV c’est REMY Pfilmlin, pas Pierre, décédé en 2000.

votre avatar

Tu peux pas leur reprocher de faire amende honorable, c’est loin d’être le cas d’autres sites et groupes bien plus gravement piratés…

votre avatar

Administration système niveau CP

votre avatar

“Cours de .htaccess” is the new “Options binaires”. Ça devrait rapporter tellement que le besoin est énorme.

votre avatar

“La chaine de télévision nous précise que &nbsp;le listing…”

&nbsp;

Je pinaille, mais dirai plutôt: “Le groupement de télévisions publiques”, ça n’est pas identifié à une chaîne en particulier…

votre avatar

C’est une faute lourde du DSI de France Télévision, pour moi c’est la porte …

&nbsp;

votre avatar

Tu m’étonnes tout le fric part dans les stars et les paillettes.



De toutes les manières, l’informatique est perçue comme un coût et non un gain de productivité en France.

votre avatar

Ils doivent être heureux les gars de l’ANSSI a réparer ce genre de PEKBAC.

Des oreilles vont siffler, des têtes vont tomber.

votre avatar







labs a écrit :



“Cours de .htaccess” is the new “Options binaires”. Ça devrait rapporter tellement que le besoin est énorme.





Avec la montée en puissance de nginx pas sur que ce soit très pertinent.


votre avatar

C’est un peu trop bas niveau pour qu’un DSI ait une quelconque vue dessus. Là ça relève plus du sysadmin.



Mais je sens que des cours d’administration et des notions de sécurité ne seraient pas du luxe chez certaines personnes du groupe

votre avatar

Les pages d’erreurs de france télévision rédigées en anglais…les gros flemmards quoi.

votre avatar

C’est quand même très inquiétant ce genre d’erreur…



question peut-être naïve, mais dans les cas ou des white-hat tombent ce genre de failles et préviennent les entreprises, sont-ils pris au sérieux? Sont-ils remerciés/rémunérés?

votre avatar

Un white-hat qui tombe sur ce genre de faille se fait d’abord raillé puis envoyé chier…



S’il persiste à publier les failles pour forcer la main il fini devant un juge pour piratage !

votre avatar

C’est de la responsabilité du DSI de s’assurer qu’il a mis les bonnes personnes sur les bonnes tâches à accomplir.

Il est payé pour ça et très bien payé même.

&nbsp;

&nbsp;

votre avatar







kypd a écrit :



Un white-hat qui tombe sur ce genre de faille se fait d’abord raillé puis envoyé chier…



S’il persiste à publier les failles pour forcer la main il fini devant un juge pour piratage !







S’il ne reçoit pas la visite des flics déjà lors de la première phase.



Bon là clairement c’est loin d’être pardonnable… Après ayant déjà presté pour le public, les personnes propulsées responsables sécurité avec zéro compétence en la matière c’est pas rare…


votre avatar

On fait les paris que qu’ils vont mettre ca sur le dos :



* Du stagiaire

* D’un prestataire exterieur

* Des pirates vendeur de beurre aux allemand







Pitoyable … <img data-src=" />

votre avatar







megatom a écrit :



Franchement c’est la honte pour les tech lead et admin sys…





De ce que je comprends, le plus gros WTF est de ne pas avoir pensé au cache google.

“le listing des répertoires n’est plus accessible depuis le mois de février, … , le cache de Google n’a pas été mis à jour depuis des semaines”

2 mois après la correction, la faille provient actuellement de google.



Ils auraient donc du soit demander un refresh du cache forcé en février ou modifier dès février leurs fichiers pour que le cache ne soit plus valide. (et encore, je suppose que via le cache on accède -en cache- aux documents.)


France Télévisions colmate une énorme fuite de données

  • France Télévisions : un site beaucoup trop bavard

  • 1,2 Go de dump, 110 000 adresses emails et bien d'autres données librement accessibles

  • France Télévisions corrige le tir et informera ses utilisateurs

Fermer