Previous Story
10 millions de données clients volés à Orange Espagne ?
Depuis plus de 18 ans, zataz.com tire la sonnette d’alarme sur les piratages de sites Internet, de leurs données. Pendant que les élus auditionnent, que les lois tentent de nous protéger, que les sociétés réfléchissent plus à leur positionnement dans Google qu’à leur sécurité, les fuites de données, les infiltrations de sites Internet, les malveillances 2.0 pullulent. Je ne veux pas être alarmiste, l’Internet est un exceptionnel outil. Mais malheureusement les pirates l’ont bien compris, nous ne sommes que des portes-monnaie sur pattes. Dernière victime en date, Orange Espagne.
La semaine dernière, le groupe de pirates informatiques Linker Squad, me contactait pour m’annoncer le piratage de plusieurs importants sites Internet [lire Piratage : TF1 et ViaPresse communique sur le vol de 1,9 million de données clients et Des pirates passent par TF1.fr et annoncent le vol de 1,9 million de données]. Comme il me l’indiquait pour le cas d’un espace de TF1 infiltré “Notre but est de défier les sociétés victimes de nos piratages, qu’ils se rendent compte de leurs erreurs.” Dans la liste qu’ils vont me communiquer, le cas de plusieurs importantes structures 2.0, dont celui de l’opérateur téléphonique/Internet Orange Espagne.
Faille SQL, une plaie du web
Deux possibilités malveillantes ont offert l’occasion aux pirates d’accéder à des bases de données. Des espaces de stockages de noms, mails, adresses dédiés à ces pages Orange baptisées « Catalogie » et « Solidarios ». Selon les documents communiqués par les pirates à zataz.com, des dizaines de tables, dont certaines aux noms plus qu’évocateurs comme « Factures« .
Pour réussir ce vol, les pirates ont exploité une faille, une injection SQL via deux adresses réticulaires faillibles différentes [comme pour le cas de TF1/ViaPresse, NDR]. Pour rappel, Owasp, un organisme indépendant dédié à la sécurité informatique, a classé dans son top 10 les injections SQL comme étant la première plaie des applications web.
La filiale de l’opérateur français a pris en charge très rapidement les deux vulnérabilités et cela grâce à l’équipe sécurité Orange France contactée par le Protocole d’Alerte de zataz. Seulement, le mal était fait. « Nous avons dump la table usarios [utilisateurs, NDR] qui contient plus de 10 millions d’inscrits, nous n’en sommes qu’au début » indiquaient les pirates. Une affirmation à prendre cependant avec des pincettes. D’après les informations de ZATAZ, la table « Usarios » ne contiendrait que quelques dizaines d’adresses relatives à des salariés de l’entreprise Espagnole. Quand au dossier « eFactura » [factures, ndr], cette table aurait été vide au moment de l’attaque des troublions 2.0.
Les failles Orange Espagne ayant été corrigées, voici les adresses pour mieux comprendre la facilité d’exploitation de ce type de vulnérabilité par les pirates informatiques. Une erreur dans les urls affichait directement le problème. Les « visiteurs » n’avaient plus qu’à utiliser un logiciel pour exploiter les SQLi. : catalogoaccesible.orange.es/pages/terminales/view.php?id=13 et solidarios.orange.es/pages/actividades/historico.php?_pagi_pg=2. A noter que la seconde adresse était accessible via un https.
Les deux pirates, derrière cette attaque, ont expliqué dans les colonnes du Parisien être français, originaires de Lyon et Toulouse. Ils risquent jusqu’à 5 ans de prison et 350.000 euros d’amende. D’autant qu’ils ne sont pas à leurs coups d’essais. Ils avaient déjà agit, voilà quelques mois, sous les noms des groupes Phenomenal Crew. L’un des membres, Angry Bird, avait été arrêté, voilà quasiment un an, jour pour jour. A l’époque, ils avaient annoncé avoir piraté les bases de données de la Mutuelle Générale des Fonctionnaires et Agents de l’Etat de Côte d’Ivoire, d’un sous domaine de l’Université de Toulouse et d’une mutuelle française basée en outre-mer. Phenomenal Crew s’était reformé sous le nom de Payload Crew.
Orange voit Rouge avec les pirates
En octobre 2012, le groupe de pirates informatiques NullCrew s’invitait dans un des espaces d’une filiale l’opérateur téléphonique Orange. A cette époque, le piratage d’une base de données appartenant au portail britannique Orange (orange.co.uk). Au mois d’avril de la même année, le portail espagnol d’Orange était attaqué par un pirate du nom de Zyklon. 1,6 millions de comptes clients avaient été ponctionnés. Il y a un an, c’était une base de données « marketing » de clients qui se retrouvait dans la nature. L’opérateur sera sanctionné en août 2014 par la CNIL pour défaut de sécurité des données dans le cadre de campagnes marketing.
