Publié le 08-04-2008 dans le thème Banque

Pays : International - Auteur : Damien Bancal

Pendant plusieurs mois, les données bancaires des clients du site entreparticuliers.com étaient en accès libre via une page de ce portail immobilier. Une faille informatique, découverte par un blogueur, permettait d'accéder aux informations des cartes bancaires, y compris au fameux cryptogramme, le CVV (ou CVV2). La faille a été rapidement corrigée. Comme l'indique 01net, aucune fraude n'aurait été décelée.

Mise à jour 09/04 : Un complot contre entreparticuliers.com ? Le PDG du site entreparticuliers.com, Stéphane Romanyszyn, nie dans les colonnes de RUE89, avoir reconnu la faille de son site Internet. Nous avons pu joindre Stéphane Romanyszyn, le 7 avril, après plusieurs mels infructueux, via l'agence de presse (Ketchum) qui se charge de la communication d'entreparticuliers.com. Cette dernière a organisé une conférence téléphonique. Lors de ce rendez-vous, un courrier électronique lui a été envoyé (07/04 à 11:57). Il contenait un lien. Lien qui lui a permis, toujours au téléphone, de constater ce qu'il pensait être une tentative de déstabilisation de la part de blogueurs. Le lien prouvait la présence d'une faille SQL dans le serveur de son site Internet. La faille ayant été corrigée, voici un extrait du lien en question (Nous ne l'affichons pas entièrement, NDR) : http://www.entreparticuliers.com/result.asp?rubrique (...) ,'Crypto%20:%20', (...) AND%20[cb]%20IS%20NOT%20NULL)--. En gros, une requête SQL injection qui exploite une faille du serveur. Une variable n'avait pas été corrigée et la requête exploitait la dite faille.

Ce contact téléphonique a donc permis à Stéphane Romanyszyn de découvrir que les captures écrans réalisées par un blogueur, elles affichaient des données bancaires diffusées par le site entreparticuliers.com, n'étaient pas des faux. Il n'a jamais reconnu la faille ? Pourquoi alors la page result.asp a été corrigée depuis ? La variable baptisée 'rub' a disparu comme le prouve la page erreur qui s'affiche à la place.

L'appel téléphonique a apporté la preuve que des informations bancaires étaient bien visibles à partir du site entreparticuliers.com. Et pourtant, Stéphane Romanyszyn indique à rue89 qu'il n'a pas "reconnu la faille (...) et se réserve le droit de poursuivre le journaliste qui l'avait cité dans son article (...) Les données bancaires de nos clients, qui sont sur nos serveurs et pas en ligne, sont en cours de cryptage".

Rue89 a retrouvé des clients. Ces derniers confirment bien l'authenticité des données bancaires qui étaient accessibles. L'un d'eux exprime même avoir eu quatre tentatives de piratage, en février dernier. Heureusement, ce client avait utilisé une e-carte bleue. Numéro unique, pour un achat et un montant unique.

Bref, je persiste et je signe. Stéphane Romanyszyn a reconnu la faille, il l'avait devant les yeux. A demandé comment cela était possible et s'est même posé la question à savoir si cela n'avait pas été orchestrée de l'intérieur de son entreprise. Une hypothèse qu'il a lui même évoqué parlant d'un ancien employé parti depuis. Le PDG estime avoir "affaire à un complot". Aucun complot, juste une faille SQL Injection.

# Liens connexes

Le blog Dauran revient sur son "aventure"

Le Top 10 des menaces de juillet 2008

Les analystes BitDefender ont publié aujourd’hui le Top 10 des e-menaces les plus répandues sur le mois de juillet.

Lesarnaques.com nouvelle version

Le site, lesarnaques.com change. Nouvelles rubriques et des des aides pour les démarches des Internautes.

GNU/Linux magazine HS 38: Electronique, domotique et embarqué avec Linux

GNU/Linux et les logiciels libres ne sont pas qu'une affaire de serveurs et d'environnements de bureau. La preuve avec le nouveau HS de GNU/Linux magazine.

Après CNN, MSNBC nouvelle cible Stormique !

La semaine dernière, des pirates informatiques s'étaient amusés à diffuser un virus via les couleurs de CNN. Depuis peu, voici venir MSNBC.

Chat spécial avec SII

Le prochain chat Lesjeudis.com aura lieu le 4 septembre avec SII. Cette information pourrait intéresser votre audience.

World Cyber Games 2008

Du 26 au 28 septembre à Paris, Parc des expositions de la Porte de Versailles, Pavillon 6.

100 photos de Reza pour la liberté de la presse

100 photos de Reza pour la liberté de la presse. Le nouvel album de Reporters Sans Frontiére sera disponible dès le jeudi 25 septembre 2008.

Outil de chiffrement open source pour Google

KeyCzar, le projet open source de Google à la sauce cryptage et chiffrement des données.

7 institutions financières sur 10 comportent des vulnérabilités

Des chercheurs de l'Université du Michigan indiquent que 7 institutions financières américaines sur 10 sont faillibles aux pirates.

Fraude bancaire en hausse

Plus de 790 millions d'euros volés par des pirates, ces six derniers mois, sur le territoire britannique.

Le sud de Londres: Roi de la fraude à la carte bancaire

Une étude tirée de l'analyse de 30 millions de transactions bancaires baptise la zone sud de Londres comme la région reine de la fraude à la carte bleue.

Réseau de cybercriminels démantelé

Un réseau de cybercriminels démantelé par la police roumaine. 19 personnes arrêtées spécialisée dans les fausses ventes sur eBay.

Fraude à la carte bancaire : 268.5 millions d'euros dans la nature

Plus de 260 millions d'euros piratés en 2007 dans les comptes en banque de Français. Montrés du doigt : Internet, le téléphone et les transactions internationales.

Piratage facile de la Western Union

WUPHacker, un logiciel vendu plusieurs centaines de dollars, permet de faire des transfert d'argent en piratant la banque américaine et ses filiales à l'étranger.

Un pirate emprisonné après un e-braquage raté

Un ancien employé de 25 ans de la banque HSBC emprisonné après avoir presque réussi le détournement de 141 millions de dollars.

Des pirates s'invitent dans des distributeurs de billets

Des pirates informatiques ont réussi à pénétrer des distributeurs de billets de la Citibank afin de voler les codes secrets des utilisateurs.

Réagissez à ce contenu