Les fuites de données peuvent principalement avoir deux causes : des pirates informatiques comme dans le cas de Labio.fr, ou bien des brèches béantes côté serveur comme récemment à la SNCF. Le cas de France Télévisions s'inscrit clairement dans la seconde catégorie puisque de nombreux documents étaient simplement accessibles via une URL.
La semaine dernière, TV5Monde était victime d'une importante cyberattaque qui a conduit au défacement de ses comptes sur les réseaux sociaux et à un écran noir de plusieurs heures sur les onze chaines du groupe. Comme nous l'avons détaillé dans cette actualité, son origine n'est pas encore connue avec certitude pour l'instant. Mais une affaire en chasse une autre et c'est désormais au tour de France Télévisions d'être au cœur de la tourmente avec une importante fuite de données.
France Télévisions : un site beaucoup trop bavard
Le groupe de pirates Linker Squad indique avoir en leur possession des bases de données provenant de FranceTV, mais sans donner plus de détails sur le contenu de celles-ci. « Nous comptons revendre au départ et ensuite partager toutes les informations comprises dans la BDD » nous précisent-ils. Plus inquiétant, pour arriver à leur fin les pirates n'ont pas eu besoin d'user de stratagème et a fortiori d'avoir recours à une cyberattaque : une simple URL suffisait en effet pour récolter les données laissées à l'air libre.
De notre côté, nous avons également pu constater la fuite de données sur le site de France Télévisions. Via une URL de la forme « http://www.francetelevisions.fr/xxx/ » on pouvait en effet accéder à un listing complet de répertoires et de sous répertoires, alors que cela ne devait évidemment pas être le cas. Des modifications ont été apportées ces derniers jours puisqu'on obtient désormais une erreur 403 Forbidden, mais le cache de Google est encore actif et permet donc de naviguer dans une bonne partie de l'arborescence du site de France Télévisions.
Contacté par nos soins, le groupe confirme le problème. La chaine de télévision nous précise que le listing des répertoires n'est plus accessible depuis le mois de février, une période durant laquelle des opérations de « sécurisation assez massives » ont été mises en place. Pour rappel, la France était alors la cible de nombreuses cyberattaques (voir notre 14h42 sur le sujet). Problème, le cache de Google n'a pas été mis à jour depuis des semaines et des fichiers étaient toujours accessibles.
1,2 Go de dump, 110 000 adresses emails et bien d'autres données librement accessibles
Dans l'un des répertoires, également accessible via le cache de Google, on pouvait ainsi accéder à des dizaines de dump de bases de données, dont trois de plus de 400 Mo chacun et datant de décembre 2013. Interrogé sur leur contenu, le groupe nous précise que les données ne sont pas sensibles puisqu'il s'agit d'ID (identifiant) et de chemin pour les vidéos de ses partenaires.
Plus embêtant, on trouve également des fichiers XML sur les restrictions géographiques imposées par FranceTV sur certaines de ses vidéos, des listes de comptes Facebook, Google et Twitter avec d'anciens tokens associés et même un fichier CSV avec près de 110 000 adresses emails qui était utilisé pour l'une de leurs newsletter, etc.
Quelques exemples de données en fuite
France Télévisions corrige le tir et informera ses utilisateurs
Les dumps des bases de données ont été retirés hier matin aux alentours de 11h, mais ce n'était pas encore le cas du fichier CSV par exemple. Ce dernier était finalement inaccessible en fin de journée. De son côté, le groupe nous confirmait que toutes les données sensibles sont hors de portée depuis hier soir aux alentours de 19h. Bien évidemment, nous avons attendu que cette fuite soit intégralement colmatée avant de publier cette actualité.
France Télévision nous précise que toutes les personnes dont l'email et/ou des données personnelles ont été laissés à l'air libre seront contactées afin d'être informées de la situation, le risque étant toujours le même : du phishing. Le groupe nous précise au passage que, sur l'échantillon qu'ils ont analysé, rien ne laisse penser qu'il y aurait des mots de passe. Aucune donnée bancaire n'est également de la partie.
La chaine de télévision nous concède qu'elle n'est « pas au bon niveau d'anticipation » dans cette histoire, mais qu'elle « a la capacité de réagir ». En effet, le problème a été corrigé dans la journée. Pour le moment, aucune demande de rançon (ou autre) ne semble par contre avoir été formulée par le groupe de pirates.
Quoi qu'il en soit, France Télévisions France déposera une plainte. Mais le groupe étant un OIV (Opérateur d'importance vitale), l'ANSSI est évidemment sur la brèche. Entre TV5Monde et France TV, l'Agence nationale de la sécurité des systèmes d'information a décidément du pain sur la planche.
Commentaires (50)
LOL
Google: “site:francetelevisions.fr index of”
Le pire c’est que Google a pu s’y rendre automatiquement, le lien était donc accessible et visible sur les pages poussées au public.
Un tel niveau d’amateurisme de la part d’un tel groupe, c’est quand même affolant… 2015 l’année du piratage ?
Franchement c’est la honte pour les tech lead et admin sys…
Tu peux pas leur reprocher de faire amende honorable, c’est loin d’être le cas d’autres sites et groupes bien plus gravement piratés…
Administration système niveau CP
“Cours de .htaccess” is the new “Options binaires”. Ça devrait rapporter tellement que le besoin est énorme.
“La chaine de télévision nous précise que le listing…”
Je pinaille, mais dirai plutôt: “Le groupement de télévisions publiques”, ça n’est pas identifié à une chaîne en particulier…
C’est une faute lourde du DSI de France Télévision, pour moi c’est la porte …
Tu m’étonnes tout le fric part dans les stars et les paillettes.
De toutes les manières, l’informatique est perçue comme un coût et non un gain de productivité en France.
Ils doivent être heureux les gars de l’ANSSI a réparer ce genre de PEKBAC.
Des oreilles vont siffler, des têtes vont tomber.
C’est un peu trop bas niveau pour qu’un DSI ait une quelconque vue dessus. Là ça relève plus du sysadmin.
Mais je sens que des cours d’administration et des notions de sécurité ne seraient pas du luxe chez certaines personnes du groupe
Les pages d’erreurs de france télévision rédigées en anglais…les gros flemmards quoi.
C’est quand même très inquiétant ce genre d’erreur…
question peut-être naïve, mais dans les cas ou des white-hat tombent ce genre de failles et préviennent les entreprises, sont-ils pris au sérieux? Sont-ils remerciés/rémunérés?
Un white-hat qui tombe sur ce genre de faille se fait d’abord raillé puis envoyé chier…
S’il persiste à publier les failles pour forcer la main il fini devant un juge pour piratage !
C’est de la responsabilité du DSI de s’assurer qu’il a mis les bonnes personnes sur les bonnes tâches à accomplir.
Il est payé pour ça et très bien payé même.
On fait les paris que qu’ils vont mettre ca sur le dos :
" />
* Du stagiaire
* D’un prestataire exterieur
* Des pirates vendeur de beurre aux allemand
Pitoyable …
Tout comme dans le privé : on peut notamment citer le DSI de Sony qui avait été placé là alors qu’il n’y connaissait rien du tout. J’ai aussi quelques exemples dans le privé où soit le comité de direction a placé des personnes a des postes où elles étaient clairement incompétente (de leur propre aveux) ou alors payé des prestations à des sociétés qui ont ramené la plus jolie commerciale/le plus beau voyage/la plus grosse TV/la meilleure caisse de champagne/…
La prochaine fois qu’ils envoient leurs stagiaires suivre une formation chez les djihadistes
Oui déjà vu aussi dans le privé.
Après c’est l’intérêt des sociétés de service… Difficile en interne d’être expert en tout.
Faut juste signer avec la bonne… Mais j’ai déjà remarqué que les grands comptes s’échangent souvent des retours d’expérience.
Par curiosité j’ai fait une recherche sur site:tf1.fr index of
https://bilan-carbone.tf1.fr/
C’est moi où ils ont leur seedbox interne ? :)
Quand on voit ce que les SSII vendent comme “expert”…
Avec toutes ces fuites, peut-etre que les entreprises vont enfin se doter d’admin competents et avec des moyens. C’est fou comme, meme dans les grands groupes, il y a en place des politiques absurdes et une qualite aussi mauvaise. Le plus gros probleme est surtout que l’admin n’a personne de competent dans son domaine au dessus de lui… donc personne ne l’evalue, donc tout continue.
desole pour les accents… clavier qwerty
Put*** mais les enc***** …
Voir ça sur un site comme TF1, c’est juste pitoyable. Surtout que TF1 soutient à mort la redevance copie-privée !
Ca mériterait une petite news public çan juste pour le fun de voir TF1 qui fait du torrent avec Ajaxplorer pour récupérer les fichiers téléchargés.
Faudrait juste savoir ce qu’ils téléchargent -> du libre de droits ou pas …
Une vraie honte…
bon on remarque qu’a 3h09 personne ne bosse chez FTélé, a par cron
ben avec la tête de gagnant de Pierre Pflimlin et ses sbir rien d étonnant .
France 2 opérateur d’importance vitale?
LOL.
C’est ca quand on considère l’informatique comme un hobby en France..
;)
plutot, oula c’est super compliqué ! j’ai bien fait de faire l’ENA !
son origine n’est pas encore connue avec certitude pour l’instant
Mais c’est officiellement un simple cas de fishing, avec des fautes de français énôrmes (à en croire les images de BFM).
Je croyais que des journalistes feraient des efforts dans ce domaine, ben non.
a priori le site originel est consultable sur archive.org :
 https://web.archive.org/web/20091213041307/http://bilan-carbone.tf1.fr/
transformer le bilan carbone en seedbox, bravo les mecs :)
Tiens, le point fait un article en citant NXI !
http://www.lepoint.fr/medias/piratage-france-televisions-victime-d-une-important…
cela me rappelle un certain bluetouff.
+1 Haha la dernière fois que j’ai laissé involontairement Google indexer du contenu sur un serveur de développement, j’ai dû tout invalider URL par URL. J’ai dû me taper environ 100-300 demandes de suppression.
La seedbox chez TF1 c’est encore un coup du salarié viré alors qu’il était contre hadopi.
Sinon,on voit bien une application du principe de dilbert, les techniciens ou sys admin restent à leur poste mais les incompétents sont responsables.
Franchement ?
Bien fait , à tous , pour leurs gueules !
On n’écoutes jamais les gaziers….
La France pays où ce sont les mauvais qui commandent, qui dirigent , qui supervisent : ouaih bien fait pour vos gueules. France de manager de daube.
Même quand tu veux monter ta boite pour faire avancer le problème et bien ces même manager ; ces gérants , ces calculateurs te dézinguent , te piquent les contrats en grugeant avec leurs fourberies. Ne parlons pas des charges pour les petits. un systéme fait par les pourris pour les pourris !
La cause ? je la subit depuis 20 ans !
Toujours le même discours :
“Comment vous n’avez pas de diplôme d’ingénieur ? vous ne sortez pas de cette grande écoles ? désolé on ne vous prends pas monsieur.”
La france pays ou ce sont les mauvais qui sont à l’honneur : eh bien vous y êtes à l’honneur … alors bien fait pour vos tronches.
La belle et grande France des dîplomes : bouffez en, jusqu’a à en vomir, votre bile.
Détail : On vous dit de migrer vers le logiciels libre … MAIS NON vous avez encore et toujours raison … CONTINUEZ à vous votrer …
Les torrents ne servent pas qu’au piratage.
" />
C’est le système de transfert de fichier le plus performant. Genre Facebook s’en sert pour diffuser ses MAJ…
Demain, les Ayant-Droits diffuseront leurs œuvres de cette façon qu’ils répudient encore.
Bref, France Television n’est pas un OIV, France Inter n’est pas un service publique, il faut arrêter le bullshit.
Je ne comprend pas que vous fassiez du bénévolat pour sécuriser les biens de sociétés qui disposent d’une rente sur nos têtes.
Je ne comprend pas.
Vous voulez pas regarder ailleurs? Si vous trouvez la faille permettant à un pirate d’exploiter les boites noires de Cazeneuve, vous aidez à corriger le problème, vous “collaborez”, ou vous vous en servez en douce pour aider à le neutraliser, vous “résistez”?
Vraiment besoin de savoir.
C’est quoi qu’on gagne là? C’est le boulot d’autres non?
Quand France Tv va demander une perquiz’ chez vous pour vérifier que vos disques n’ont pas de traces de leurs datas, une plainte genre maintient illégal dans un système informatique pourri comme Blutouff?
Déjà entendu parler de sélection naturelle??
Va falloir apprendre à faire une recherche Google (et à lire), le PDG de FTV c’est REMY Pfilmlin, pas Pierre, décédé en 2000.