Piratage : TV5 Monde, la partie visible de l’iceberg failles de France télévision

Le piratage de TV5 Monde aura fait couler beaucoup d’encre. Des dizaines d’experts, dont beaucoup ayant une expertise à faire marrer le virus Leonard de Vinci, ont expliqué que ce piratage de media français était une première. La vrai nouveauté, dans la panique, TV5 Monde a du couper son antenne. ZATAZ.COM va vous montrer que France Télévision a chaud aux fesses depuis de nombreux mois. L’attaque de TV5 Monde n’est qu’un exemple ! Retour sur 90 Protocoles d’alerte ZATAZ (ne) concernant que France Télévision.

Alors que ce lundi 13 avril, les députés travaillent sur la loi sur le renseignement, le gouvernement a appelé les médias à la « vigilance » après le piratage de la chaîne de télévision généraliste internationale publique TV5 Monde. Une attaque signée par de présumés djihadistes qui auraient, mais les informations n’ont pas encore été rendues publiques, exploité un code malveillant. L’attaque a bloqué plusieurs heures l’antenne, le site web, ainsi que le Twitter et Facebook de cette filiale de France Télévision (actionnaire à 49%). Une attaque prévisible ? Malheureusement oui. Et ce n’est pas qu’une machine Cisco qu’il va falloir auditer ! Voici les Protocole d’Alertes envoyées à France Télévision durant ces quatre dernières années.

2011

Le sous-domaine « relation » de France 3 victime d’une intrusion à partir d’une injection SQL. Les mots de passe des espaces Alsace, Aquitaine, Bourgogne, Limousin, Corse, Lorraine, Méditerranée, Nord Pas-de-Calais-Ardenne, Normandie, Ouest, Paris Ile-de-France Centre, Rhône-Alpes Auvergne, Sud compromis. Les mots de passe accessibles.

La page apocalypse.france2.fr faillible à une SQLi. Accès à la base de données. Accès à logins et mots de passe.

L’ancien site francetvod.fr victime d’une injection SQL. Accès base de données.

L’espace téléspectateurs de France 5 noyé par des publicités malveillante pour du viagra.

Des pirates ont injecté des centaines de fausses pages ayant pour mission de vanter des pharmacies pirates et du  » viagra pas cher « .

Le site francetelevisions.fr faillible à une SQLi. Accès au mot de passe et au mail de l’administrateur du « groupe« . ZATAZ va découvrir que des pirates l’avaient décrypté sur un site dédié au crack de md5. Un mot de passe de 4 lettres et deux chiffres !

Injection SQL, avec accès base de données, pour l’espace blog du site blog.francetv.fr.

Le back Office d’Administration (Pénélope) de France 5 infiltré. Aucun dégât. Un hacker voulait alerter sur la fragilité du système.

Capture écran envoyée à zataz.com, à l’époque, par les hackers.

2012

Plusieurs vulnérabilités XSS (4) présentes dans les espaces info du site francetelevisions.fr.

Plusieurs vulnérabilités XSS (9) présentes dans l’espace Static du site france3fr, ainsi que deux injections SQL.

Fuite de données pouvant permettre à la réflexion d’une attaque malveillante à partir de mediaexchange.fr.

Des pirates annoncent la main mise sur plusieurs failles (3)  visant France 4 et plus précisément la page dédiée à la série « Plus belle la vie« . Le PATH d’installation avait été découvert. Un espace qui était affiché sur le site de France 3. Le SPIP avait été visé et les informations de configuration PHP lisibles. Un formulaire de téléchargement avait été attaqué. Les pirates avaient tenté de passer les filtres intégrés par les webmasters. Cette faille ne fonctionnait pas lors de l’utilisation du navigateur Google Chrome. Le navigateur possédant son système de sécurité (auto URL Encode). Les pirates étaient passés par Firefox et l’addon Hackbar.

L’espace dédié à la série Plus belle la vie avait des fuites d’informations sensibles.

Des XSS sont découverts sur PluzzVAD (Service de vidéo à la demande de France Télévision) ; leclubfrancetelevisions.fr ; Geopolis ; Culture Box ; Nouvelles écritures.

L’espace Guide des producteurs fuite. De nombreuses données sensibles accessibles aux pirates.

XSS dans le site leclubfrancetelevisions.fr

Juillet 2013

Faille pour l’espace Pluzz et recherche de Francetv.fr.

Quatre espaces du site de France 4 victimes d’une injection SQL. Les pages Quiz Club, Bandes annonces, Vidéos et Programmes étaient faillibles. La SQLi permettait d’agir sur les bases de données du site et, dans le pire des cas, copier les données contenues dans les BDD.

Un espace traitant du Tour de France, créé en 2006 et toujours présent sur le site France 5 en 2013, était faillible à une injection SQL. Accès à la base de données. Logins et mots de passe accessibles.

Une injection XSS permet d’afficher un message, vole cession de connexion, lancer une action via le navigateur du visiteur…

Faille SQL dans l’espace de recherche de l’émission « C’est dans l’air« . Accès à la base de données. La même faille visait aussi la page dédiée à la série « Doctor Who« , sur france4.fr.

En décembre 2013, une grosse alerte est communiquée à l’ANSSI. Seize sites sont touchés par des attaques de type XSS persistantes (Il suffisait de visiter un post piégé pour que la XSS persistante s’exécute, Ndr) et non persistantes. Six domaines principaux, 6 sous-domaines et 4 sous-dossiers de domaines et sous domaines étaient touchés. Un des sites était touché par une attaque de type injection SQL.

L’ensemble des sites de France Tv utilisateurs des forums de mesdiscution.net faillibles par une faille de type Server Information Disclosure : francetv.fr, franceo.fr, leclubfrancetelevisions.fr, allodocteurs.fr, legrandtour.fr, lesite.fr, pourtous.lesite.tv, c-est-pas-sorcier.france3.fr, emploi.francetv.fr, programme-tv.francetv.fr, nouvelles-ecritures.francetv.fr, lesforums.france2.fr, lesforums.france3.fr, les zouzous, Un livre un jour.

Entre les XSS non persistantes (via un url poisoning dans les recherches par exemple, NDR), les XSS persistantes dans un bon 70% des espaces membres. L’attaque aurait pu permettre de transmettre un ver (worm) exécuté par l’utilisateur sur toutes les pages dès une connexion sur ces dernières. Worm qu’il aurait pu transmettre aux autres.

Décembre 2013, un jeune « internaute » passe un message, sous forme d’une XSS, à France TV Info. Il avait découvert une faille, averti la chaîne. Sans réponse, il trouvera cette solution pour espérer un écho. Au moment de l’écriture de cet article, 17 mois plus tard, la page n’était toujours pas corrigée. Une fois de plus le protocole d’alerte ZATAZ a fait appel au COSSI ANSSI pour faire remonter l’information.

2014

Le site de l’émission vedette de France 5, Allô Docteur, faillible à un XSS.

Nouvelle faille XSS dans le moteur de recherche de francetv.fr.

Des centaines de pages pirates, cachées dans Les Forums de France2, ayant pour mission de commercialiser des logiciels contrefaits.

Google avait, lui aussi, référencé les pages pirates dans les forums de France 2.

2015

Le site franceTv.fr souffre d’une faille XSS dans son moteur de recherche.

L’espace Programme TV du site francetv.fr vulnérable à un XSS.

Xss pour le site allodocteurs.fr.

Découverte de documents (.gz) oubliés dans des dossiers des sites de 1ere et France 3.

Et demain ?

Au moment où je termine cet article, des sites de France TV sont toujours dans les mains de pirates informatiques. L’espace Static FTV, par exemple, propose d’acheter du Viagra pas cher, sans parler du non contrôle des spams Cialis et compagnie présents dans des blogs hébergés sur TV5 comme celui de « Y a du monde à Paris« . Publicités malveillantes présentes depuis 2013. A noter que la maison de production JR Production, qui produit pour France Télévision Joker, Harry ou Des chiffres et des lettres n’a toujours pas répondu à notre alerte.

Au moment de l’écriture de cet article, zataz a découvert de nouveaux espaces France Tv infiltrés.

Le Protocole d’Alerte de ZATAZ a aidé bénévolement, depuis 1998, plus de 60,000 entreprises, associations, espaces étatiques et particuliers d’une fuite de données et autres actes de piratages.