Connexion
Abonnez-vous

Des sites gouvernementaux victimes de plusieurs failles

Des bandits pas manchots

Des sites gouvernementaux victimes de plusieurs failles

Le 17 mars 2014 à 11h25

Des sites gouvernementaux ont été victimes de plusieurs failles, exploitées pour mener à bien illégalement des activités commerciales très réglementées. Sur un site hébergé par Bercy, on découvrait ainsi des publicités sauvages pour des casinos en ligne. Sur Google, on remarquait par ailleurs de drôles de pub pour du Viagra liées au site du ministère de la Santé.

Depuis 2010, le site MyCyberAutoentreprise.pme.gouv.fr a pour ambition de permettre à l'autoentrepreneur « d’assimiler les compétences nécessaires pour devenir un « patron » performant », « d’être sensibilisé aux  bonnes pratiques de l’entrepreneuriat » ou encore « de progresser dans le pilotage de son activité, pour savoir produire un bien, un service ». Il s’agit en fait d’un jeu en 3D « qui vous permet de tester vos compétences d'autoentrepreneur » dixit la page de présentation. « Après avoir joué à Ma cyber Auto-Entreprise, vous aurez toutes les clés en main pour éviter les pièges et réussir dans votre activité, alors lancez-vous dans le jeu ! »

 

Cependant, ce site du ministère du Redressement productif et de celui des PME souffre d’une petite quinte de toux numérique lorsqu’on se créé un compte  :

 

undefined

 

...Ou quand on fait une recherche :

 

undefined

Des pubs pour des casinos entre les murs de Bercy

Mais un problème plus embêtant nous a été signalé par un lecteur. Ainsi, la requête « online casino » site :Gouv.fr sur Google va rechercher spécialement l’expression entre guillemets sur tous les sites gouvernementaux (.gouv.fr). Justement, Google renvoie de curieux résultats sur Ma Cyber Auto-Entreprise :

 

faille casino

 

On trouvait spécialement ces deux pages :

 

URL initiale

 

URL initiale

 

…Qui vous proposent chance, succès et bonheur sur des casinos en ligne. Des pages rédigées en anglais et évidemment non agréées par la très sérieuse Autorité de régulation des jeux en ligne, « gendarme » du secteur des jeux.

 

Ces pubs sauvages ont été mises en ligne il y a visiblement plus de deux mois. Elles sont en tout cas datées du dimanche 5 janvier 2014. Alertée en fin de semaine dernière par nos soins, la Direction générale de la compétitivité, de l’industrie et des services (DGCIS) a immédiatement fait fermer tout le site, victime selon ses mots d’une « intrusion malicieuse ». Voilà pourquoi Macyberautoentreprise.pme.gouv.fr est désormais en travaux. La DGCIS nous a précisé qu’elle allait poursuivre cette semaine ses investigations afin d'identifier l'origine du problème. 

Du viagra lié à social-sante.gouv.fr

Ce site n’est cependant pas le seul en cause. Si on focalise cette fois sa requête avec l’expression « viagra » site :gouv.fr, le premier lien dirige selon Google vers le site du ministère des Affaires sociales, un site qui était vendredi encore sous SPIP 2.0.10, (une version d'octobre 2009 de ce système de publication d’information partagée). Fait notable : cette pub était mieux référencée que l'action des douanes en matière de saisie de faux cachets de Viagra.

 

undefined

 

En cliquant sur le lien, l’utilisateur était automatiquement redirigé non sur le site du ministère, mais vers un site tiers - en fait une pharmacie en ligne non agréée qui propose notamment des wagons de Viagra.

 

Là encore, ce petit désordre a été signalé aux services de Marisol Touraine, ministre des Affaires sociales. « Nous avons bien identifié le problème et les services informatiques du ministère travaillent à le régler ». Tout semble aujourd'hui réglé puisqu'il n'y a plus de trace de Vigra sur le moteur vers social.gouv.fr, mais d’autres sites officiels en .gouv restent encore en souffrance, si l'on en croit les résultats Google.

Commentaires (41)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Est-ce que ça étonne quelqu’un ? <img data-src=" />

votre avatar

Le sitehttp://www.macyberautoentreprise.pme.gouv.fr/ est maintenant en travaux…

votre avatar

Et c’est qui qui a trouvé ces failles?

votre avatar

Que les sites institutionnels soient piratés ça ne m’étonne pas. De toute façon le risque 0 n’existe pas. Il faut juste espérer qu’ils adoptent les bons réflexes : màj, surveillance pour remettre en ordre.

Tout ça pour dire, qu’il faut un minimum de niveau de sécurité mais pas non plus dépenser des millions pour de toute façon toujours avoir le risque de se faire hacker.

Le truc de 2009…ça montre que ce n’est pas bien maintenu…

votre avatar







FunnyD a écrit :



Et c’est qui qui a trouvé ces failles?





Google, le plus grand hackeroterroriste que la Terre ait jamais connu. Demande à Bluetouff. <img data-src=" />


votre avatar







NonMais a écrit :



Que les sites institutionnels soient piratés ça ne m’étonne pas. De toute façon le risque 0 n’existe pas.





Certes, mais bon là ça fait un peu dépotoir à l’abandon quand même <img data-src=" />



Vous avez été remerciés en abattement fiscal j’espère <img data-src=" />


votre avatar

Bluetouff avait avec des amis fait un speed test de sécurité pendant 24h sur la sécurité des sites web de la puissance public: c’était pas triste d’après lui



Le scandale des sites gouvernementaux qui se négligent

votre avatar







Reznor26 a écrit :



Certes, mais bon là ça fait un peu dépotoir à l’abandon quand même <img data-src=" />



Vous avez été remerciés en abattement fiscal j’espère <img data-src=" />







oui on peut reprocher un manque de surveillance + un manque de maintenance (version de 2009 : n’y a-t-il pas des versions plus récentes qui auraient boucher quelques trous de sécurité…?)


votre avatar

Pourraient-ils se faire poursuivre pour négligence (comme nous pouvons l’être avec noter ligne internet et l’Hadopi)? <img data-src=" />

votre avatar

Je le fait avant :

Mais que fait Christine ? Que fait l’Hadopi, c’est de la négligence caractérisé!



Bon, ben voilà, je peux repartir



Arf, merde, grilled.

votre avatar

Pour le coup du viagra, ca voudrait pas dire qu’ils ont acheté des adwords ?

votre avatar

Du coup, les pirates informatiques travaillent à la solde des casinos et des vendeurs de viagra. Rien de très nouveau là-dedans.

votre avatar

encore des sites basés sur des vieilles versions deCMS, jamais mis à jour <img data-src=" />

votre avatar







Koxinga22 a écrit :



Pour le coup du viagra, ca voudrait pas dire qu’ils ont acheté des adwords ?







Non çà veut dire qu’ils veulent redresser la France <img data-src=" />


votre avatar

Et ouais, le pare-feu open office c’est de la merde <img data-src=" />

votre avatar







Jarodd a écrit :



encore des sites basés sur des vieilles versions deCMS, jamais mis à jour <img data-src=" />







T’espérais quoi quand le site ne coûte pas 4 millions d’euros


votre avatar

Pwn2Own.gouv.fr <img data-src=" />

votre avatar







Vachalay a écrit :



Non çà veut dire qu’ils veulent redresser la France <img data-src=" />





<img data-src=" /> pas mal !



C’est encore un coup de montebourde et son ministère du “redressement productif” <img data-src=" />


votre avatar







Vachalay a écrit :



Non çà veut dire qu’ils veulent redresser la France <img data-src=" />







ils pourraient utiliser un pas lent <img data-src=" /> (par sécurité) <img data-src=" />


votre avatar

La vache on utilise encore “Cyber” en 2014 ? <img data-src=" />

votre avatar

PC Inpact se met à faire du Zataz.com ??? <img data-src=" />

votre avatar







Vachalay a écrit :



Non çà veut dire qu’ils veulent redresser la France <img data-src=" />





très bon <img data-src=" />



Deux mois mini sans qu’ils aient rien vu ? <img data-src=" />

Chez nous, il suffit qu’une image ait pas la bonne taille ou que le site soit indisponible 2 minutes pour qu’on se croie en plein Armageddon… Comment je suis envieux <img data-src=" />


votre avatar







Inny a écrit :



Google, le plus grand hackeroterroriste que la Terre ait jamais connu. Demande à Bluetouff. <img data-src=" />



Ca donne quoi l’histoire avec bluetouff ?


votre avatar







caesar a écrit :



Ca donne quoi l’histoire avec bluetouff ?







Tu trouveras pleins d’info sur cette story ici. Bonne lecture <img data-src=" />


votre avatar







Dirty Troll a écrit :



Tu trouveras pleins d’info sur cette story ici. Bonne lecture <img data-src=" />







J’ai ma réponse :



Progression du financement du pourvoi en cassation 100% <img data-src=" />


votre avatar

Pourquoi avoir anglicisé le nom ? L’URL et le Titre de la page sont bien “MaCyberEtc.”. C’est le nom du soft lui-même ?

votre avatar







Jarodd a écrit :



encore des sites basés sur des vieilles versions deCMS, jamais mis à jour <img data-src=" />







T’inquiète, j’imagine que ça a quand même dû coûter minimum 100.000€ pour faire personnaliser le CMS… et payer une “maintenance” jamais effectuée car contrat mal foutu…


votre avatar







caesar a écrit :



J’ai ma réponse :



Progression du financement du pourvoi en cassation 100% <img data-src=" />







En gros ils vont devoir prouver qu’il n’y a pas eu motivation de piratage même si les fichiers était accessible sans se logger, l’arborescence montrait que les dossiers parents étaient confidentiel mais pas certains sous dossiers.



C’est donc un délit de sécurisation du site et non un acte de piratage délibéré et c’est ce qu’ils vont devoir faire avaler aux juges.



Perso je pense que ça sent la quenelle pour “bloutouffe” (<img data-src=" />)


votre avatar







Dirty Troll a écrit :



En gros ils vont devoir prouver qu’il n’y a pas eu motivation de piratage même si les fichiers était accessible sans se logger, l’arborescence montrait que les dossiers parents étaient confidentiel mais pas certains sous dossiers.



C’est donc un délit de sécurisation du site et non un acte de piratage délibéré et c’est ce qu’ils vont devoir faire avaler aux juges.



Perso je pense que ça sent la quenelle pour “bloutouffe” (<img data-src=" />)







ce n’est meme pas un delit de sécurisation…

tu peux tout à fait avoir une identification sur la page index pour que l’entree du site soit filtrée. puis différents répertoires ouverts sur l’exterieur accessibles uniquement par hyperlink.


votre avatar







saf04 a écrit :



ce n’est meme pas un delit de sécurisation…

tu peux tout à fait avoir une identification sur la page index pour que l’entree du site soit filtrée. puis différents répertoires ouverts sur l’exterieur accessibles uniquement par hyperlink.







Et bien disons que si ces dit fichiers étaient confidentiels, je ne vois pas pourquoi ils se sont retrouvé public. Donc c’est bien “une faute” de sécurisation de l’administrateur, non ?



Après si l’index du site a besoin d’une authentification, est ce que ces fameux sous-répertoires publics sont d’ordres privés ?


votre avatar







Dirty Troll a écrit :



Et bien disons que si ces dit fichiers étaient confidentiels, je ne vois pas pourquoi ils se sont retrouvé public. Donc c’est bien “une faute” de sécurisation de l’administrateur, non ?



Après si l’index du site a besoin d’une authentification, est ce que ces fameux sous-répertoires publics sont d’ordres privés ?







j’avais pas compris ton premier commentaire, mais on dit bien la meme chose…


votre avatar

Une photo de Montebourg avec une grosse pub pour du Viagra juste à coté, ça aurait été rigolo.<img data-src=" />

votre avatar







lateo a écrit :



T’inquiète, j’imagine que ça a quand même dû coûter minimum 100.000€ pour faire personnaliser le CMS… et payer une “maintenance” jamais effectuée car contrat mal foutu…





On s’en fout, c’est que de l’argent public.<img data-src=" />


votre avatar







jpaul a écrit :



La vache on utilise encore “Cyber” en 2014 ? <img data-src=" />





Ben oui. Y a bien des gens qui utilisent encore Facebook.<img data-src=" />


votre avatar

Font tourner LAMP?



Linux avec SELinux = backdoor NSA

PHP Zend: backdoor mossad



apache et mysql: faut voir, mysql a été scandinave, backdoors services EU?

votre avatar







sylware a écrit :



PHP Zend: backdoor mossad







tu peux m’en dire un peu plus steup ?


votre avatar







maxxyme a écrit :



PC Inpact se met à faire du Zataz.com ??? <img data-src=" />







Je parlais de ces questions de failles voilà près de 10 ans dans Pirates Mag, alors que Damien suçait sa tétine (avec moi ;))







(Bisous Damien ;))


votre avatar







MarcRees a écrit :



Je parlais de ces questions de failles voilà près de 10 ans dans Pirates Mag, alors que Damien suçait sa tétine (avec moi ;))







(Bisous Damien ;))





Je vois toujours des résultats avec online pharmacy…

google.fr Google


votre avatar







Vachalay a écrit :



Non çà veut dire qu’ils veulent redresser la France <img data-src=" />





<img data-src=" /> Excellent. <img data-src=" />


votre avatar







psn00ps a écrit :



Je vois toujours des résultats avec online pharmacy…

https://www.google.fr/search?num=40&q=%22online+pharmacy%22+site+:Gouv.fr&safe=off&start=10







Bien vu !

Je le signale aux personnes concernées.

merci ;)


votre avatar

“Merci à nouveau de votre signalement. Ce point est en cours de traitement par la DSI et la chaîne SSI des ministères sociaux.”


Des sites gouvernementaux victimes de plusieurs failles

  • Des pubs pour des casinos entre les murs de Bercy

  • Du viagra lié à social-sante.gouv.fr

Fermer