Infos locales

Communiqué sur la fuite de données personnelles de l’UMP

1578 visites
3 compléments

Nous sommes les auteurs de la publication des données « légérement » privées des députés UMP, le désormais fameux « DoX-UMP » :

Nous avons fait un communiqué complet plus tôt aujourd’hui, transmis à un journaliste qui nous a invité à discuter, mais en attendant publication de ce communiqué, si publication il y a, dans le doute nous tenons à signaler (répeter) quelques points importants :

- Aucun site « institutionnel » n’a été attaqué, ni même visé.
- Les données sont issues d’une société d’hébergement & création de sites internet privée. (mes-conseils.fr)
- La faille a été découverte par un « google dork », il s’agit d’une faille SQL flagrante.
- L’exploitation de ce genre de faille s’apprend en quelques minutes avec google/youtube.
- Ces failles SQL étaient présentent sur 30 sites personnels de personalités de l’UMP.
- L’exploitation de cette faille nous a mené à plus de 160 bases de données, dont la plupart étaient directement liées avec l’UMP.
- Dans ces bases de données, il y avait :
° des centaines (milliers ?) de mails
° les identifiants confidentiels de ces députés pour se connecter à des extra/intranets
° certains identifiants confidentiels permettant de se connecter au portail privé de l’assemblée-nationale.

Nous AURIONS PU, en voyant tout ceci :
- écrire des mails en utilisant les adresses officiels de certains députés.
- tenter de pirater le site de l’assemblée-nationale « de l’intérieur ».
- publier TOUTES les données aperçues sur ce serveur, contenu des mails identifiants & mot de passe compris.
- les vendres à des pays étranger ?

Nous avons choisi de ne publier qu’une partie des données, expurgée de ce qu’il y avait de plus sensible.
Nous souhaitions être entendu, chaque jour des centaines de personnes se font pirater leurs données privées transmises à des société privées. données, qui sont ensuite partagées sur le net, dans l’indifférence totale de ces sociétés privées piratées, et des responsables politiques.
Mais ces citoyens ont rarement la chance de tomber sur des pirates qui ne dévoillent pas les mots de passes, ou le contenu de mails.

A ceux qui nous qualifient d’ « irresponsables », et que ce piratage est « grave » nous tenons à demander :

Qui est « irresponsable » ? Qu’est ce qui est « grave » ?
- Ce webmaster qui laisse quasi-ouvert son serveur MySql, qui utilise le même mot de passe PARTOUT, et qui semble très peu regardant quand à la sécurité des données qu’il hébèrge ?
- Certains députés, qui confient à ce webmaster privé leurs identifiants officiels de député ?

A ceux qui nous qualifient de « cyber-idéalistes attaquant la nation », nous tenons à dire que :

- Nous n’avons publié aucun mot de passe permettant d’accéder aux sites institutionnels, malgré leur présence dans la base de données.
- Nous sommes tombés par hasard (-google dork-) sur cette faille, nous avons regardé où elle menait par curiosité avant tout.
- Nous n’avons pas publié la faille en question, ce qui aurait permis à n’importe qui de s’emparer de toutes ces données.
- Nous n’avons ni attaqué ni visé aucun site institutionnel.
- Cyber-Idéalistes tout-court, pourquoi pas !

Alors pourquoi avoir publié ces données ?

Nous avons simplement profité de cette occasion pour mettre l’UMP en face de ses contradictions, situation tellement ironique...
Plus de fichiers = Plus de fuites.
Et plus les fichiers sont « tendancieux », plus le risque de fuite sera grand.

* Il y a quelques mois une loi a été votée autorisant le « fichage de 45 millions de personnes honnêtes », lorsque 566 des 577 députés étaient ABSENTS !
* Il y a quelques jours, Israel s’est « rendu compte » que les données privées de 9 millions de ses citoyens circulaient sur internet.
Plus de fichiers = Plus de fuites.

La gravité de notre piratage et des données rendues publiques, quelques sms, est quelques peu désuette quand on se pose les questions suivantes :

* Que se serait-il passé si ce piratage était l’oeuvre d’un pays étranger, pas forcément très amical, qui aurait pu ainsi envoyer/recevoir des mails avec l’adresse officielle de membres du gouvernement ?
* Que se serait-il passé si ce piratage avait mené à un piratage de tout le site du groupe UMP ou du site l’assemblée nationale et compromettant surement des données réellement sensibles ?

Nous n’avons rien sauvegardé de ce que nous avons vu dans ces bases de données, il n’y aura pas d’autres publications de données de notre part. Nous sommes certes un peu moqueurs, mais pas plus que les personnes visées dans nos premières publications, non ?
Nous ne sommes pas des ennemis des institutions. Nous n’appelons pas à la haine, mais nous soutenons les luttes citoyennes, et même parfois, les luttes « par effraction » !

Moralité :
« Plus de fichiers = Plus de fuites. »

DoX-UMP

Pour retrouver les données DoxUMP : après copwatch et fafwatch, UMPwatch !

Proposer un complément d'info

modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Votre message

  • Pour créer des paragraphes, laissez simplement des lignes vides.

  • Le 16 novembre 2011 à 16:28, par un geek

    aïe aïe aïe...

    Comme d’habitude dès qu’une initiative voit le jour on a le droit au communiqué rageur des anars de service venus expliquer que c’est pas assez révolutionnaire et que eux aurait fait mieux à la place. Encore une fois on a le droit au concours de grande gueules qui n’y connaissent rien et qui croient qu’on va aller pirater des sites gouvernementaux à coup d’injections SQL (même pas sûr qu’ils sachent ce que c’est).

    Donc juste pour remettre les choses en place, il n’y avait de toute façon pas grand chose à faire avec ces données sinon les diffuser. Les autres option étaient de pirater les sites des députés « pour la gloire » vu qu’ils auraient été remis en service dans la semaine, ou alors se connecter aux serveurs de l’assemblée nationale, ce qui peut-être intéressant si on a envie de suivre la vie des députés dans l’hémicycle, mais ce qui ne sert globalement à rien vu qu’il y a fort à parier qu’aucun des piratés n’avait de droits administrateurs.

    Si y’en a qui rêvent de déterrer des histoires croustillantes faut pas rêver, elles sont surement mieux planquées que cela, et surement pas sur les serveurs de l’assemblée (rapelons juste que les comptes publics, et plus généralement tout ce qui se passe à l’assemblée est déjà consigné et en accès libre par exemple sur http://www.assemblee-nationale.fr/budget/index.asp). Et quand bien même on trouverait des comptes trafiqués, le simple de devoir les décortiquer est déjà un boulot à part entière et monopolise pas mal d’énergie, que ce soit la cour des comptes ou les journalistes qui font encore leur boulot (le canard enchainé, bakchich...)

    A moins d’aller pirater les serveurs de l’armée ou de la DCRI (qui doivent surement être les sites les plus sécurisés de france), y’a pas grand chose à espérer de ce côté là. D’autre part si c’était à la portée du premier pirate venu de destabiliser un pays, y’a longtemps que ça aurait été fait.

    Enfin, si jamais y’en a qui pensent faire mieux, personne ne les empêche d’apprendre à pirater et de le faire eux-mêmes. Mais bon, c’est vrai que ça demande des compétences informatiques autres que d’aller poster son commentaire (de merde) sur rebellyon.

    Donc les gens, continuez à rager de votre impuissance à changer le monde, mais faites le en silence et arrêtez d’insulter celles et ceux qui font les choses à leur échelle.

    PS : si vous voulez voir ce que c’est que des hackers collabos jetez un coup d’oeil par là : http://www.fluctuat.net/blog/31043-Projet-Voxel-vs-Anonymous-un-hacktivisme-de-droite-est-il-possible- et http://www.youtube.com/watch?v=qVc_4X8bAWw

  • Le 15 novembre 2011 à 00:01, par non mais c’est pas vrai...

    Alors là j’en crois pas mon écran, je crois que j’ai rarement été aussi énervé et déçu à la fois.
    Vous faites là une belle bande de nazes, mous du genou et qui plus est, collabos !
    C’est très bien de leur faire prendre conscience qu’il faudrait sécuriser leurs sites (ce qu’ils vont maintenant faire), superbe ! Merci beaucoup
    Vous croyez qu’on va pouvoir chasser allègrement de l’UMPiste au fusil en allant chez lui ? On s’en fout de son adresse...
    Dans cette ère technologique, les moyens de combattre sont différents d’antan.
    (Malheureusement ? heureusement ? => autre débat)
    Votre découverte aurait pu complètement déstabiliser le pouvoir voir même le système complet.
    Et si je pousse le rêve un peu plus loin, aurait permis peut-être de fonder une vraie base révolutionnaire massive.
    Toutes ces données et surtout ces accès auraient constitués une énorme source d’informations (exemples : magouilles, fonctionnement/financement, gestion du pays, accords internationaux, corruption, marché d’armes, infos secrètes [« sensibles » si vous préférez, mais sensibles pour qui ??] etc etc etc...), autant à but militant qu’à but éducatif (apprendre à la population ce que font nos dirigeants avec nos thunes).
    Une énorme opportunité (qui ne se présente pas deux fois) gâchée, ruinée, anéantie, d’enfin dévoiler au grand public le masque qu’ils tiennent devant leur fascisme mondial effréné.
    Vous avez oublié à qui vous avez pris ces infos.
    Vous avez oublié ce qu’ils ont fait et font toujours.
    Vous avez oublié, peut-être à cause de votre petit confort européen, l’influence de ces gens sur le RESTE DU MONDE. Et oui la (f)Rance n’est pas le monde. Mais elle fait bien partie des quelques pays riches qui le font crever.
    Vous avez oublié nos frères humains tabassés, tués, expulsés, torturés, exploités...
    Vous avez oublié, etc etc etc...
    Je pourrais continuer comme ça pendant 10 pages de commentaires mais j’ai pas envie de gaspiller mon énergie là-dedans. Aussi, je me rends compte que peut-être, la peur a aussi marché sur vous.
    Bref, et ce gâchis au nom de quoi ??
    Au nom « des cen¬tai¬nes de per¬son¬nes qui se font pira¬ter leurs don¬nées pri¬vées trans¬mi¬ses à des société pri¬vées. Don¬nées, qui sont ensuite par¬ta¬gées sur le net, dans l’indif¬fé¬rence totale de ces socié¬tés pri¬vées pira¬tées, et des res¬pon¬sa¬bles poli¬ti¬ques. » ????? Super ! Mais quel idéal ! C’est ça votre première et principale motivation ?
    Allez soyons fous, admettons. Mais à ce moment-là, donnez au moins ces accès à des personnes avec de vraies convictions (comme ça vous n’y êtes pour rien et vous ne serez toujours pas des « ennemis de la nation » sic ).
    Et pour couronner le tout, vous venez sur Rebellyon en donnant de l’espoir aux lecteurs pour finalement dire :
    Ah ben on aurait pu faire ci, ça, mais on va plutôt être sympa vu qu’ils le sont aussi et leur montrer où est la faille !
    Merci putain...
    allez je me casse parce que je vais finir par foutre des insultes dans tous les sens, tellement ma rage et ma déception sont aiguisées.
    La seule chose que j’espère est que vous mentez et qu’il existe bel et bien une copie de ces données, mais que vous ne voulez pas diffuser.
    Votre geste ne part sûrement pas d’une mauvaise intention mais relève presque de la trahison. Vous venez de mettre des bâtons dans les roues du peuple, bravo.
    Je tiens quand même à présenter mes excuses pour mon énervement, mon exagération, mes généralisations, et mon ironie... Mais c’est pour bien faire passer le message.
    Je sais aussi que certains de mes propos peuvent paraître « abusés » mais ouvrez les yeux et informez-vous, elle est là, la véritable peur.

  • Le 10 novembre 2011 à 11:17

    Vos scrupules vous accusent. Alors il s’agissait simplement de pousser les députés UMP à sécuriser leurs sites internet ? C’est gentil. Pour eux.

    "Nous ne sommes pas des enne­mis des ins­ti­tu­tions. Nous n’appe­lons pas à la haine, mais nous sou­te­nons les luttes citoyen­nes, et même par­fois, les luttes « par effrac­tion » !"

    Merci, vous êtes donc bien une bande d’idéalistes, et pas "ennemis de la nation", je vous rassure.

Publiez !

Comment publier sur Rebellyon.info?

Rebellyon.info n’est pas un collectif de rédaction, c’est un outil qui permet la publication d’articles que vous proposez. La proposition d’article se fait à travers l’interface privée du site. Quelques infos rapides pour comprendre comment être publié !
Si vous rencontrez le moindre problème, n’hésitez pas à nous le faire savoir
via le mail contact [at] rebellyon.info