Previous Story
Commune : Piratages possibles pour des espaces de Paris.fr
Plusieurs espaces du site Internet de la Ville de Paris.fr corrigés rapidement après la découverte de failles. Des données privées étaient accessibles.
La rédaction de ZATAZ.COM a pu constater les corrections apportées à plusieurs espaces numériques de la Ville de Paris. C’est un internaute qui a permis la correction de connect.paris.fr. Cet espace offre la possibilité de découvrir, chaque semaine dans votre boîte mail, tous les bons plans, les infos pratiques et les nouveautés parisiennes.
Un pirate informatique aurait pu (peut-être qu’un malveillant est passé par là avant l’action du cyber citoyen, ndr) mettre la main sur de nombreuses données via des failles de type injection SQL. Au moins cinq sous domaines étaient faillibles. « Les données concernaient une base de test contenant 140 entrées utilisées entre 2010 et 2011, indique à zataz.com, Aurélien Deffay, le responsable du département Paris Numérique, d’où la présence de mot de passe en MD5 et de comptes d’agents de la ville en @paris.fr. Les autres comptes étaient des comptes de prestataires qui intervenaient régulièrement sur notre environnement. » Aucunes données de comptes de parisiens n’étaient accessibles via cet environnement.
Ce mystérieux cybercitoyen, qui a souhaité rester anonyme, a confirmé à la rédaction de zataz les possibilités malveillantes, comme la lecture et/ou la copie, des identités, des mails, des mots de passe (MD5) contenus dans la base de données en question. Plutôt inquiétant quand on apprend que Paris.fr a été audité, il y a un an, par une entreprise spécialisée dans l’audit informatique et la sécurité numérique. A noter que le site chiffre depuis 2012 toutes les informations internes, donc celles des Parisiens, en SHA-256.
A noter que cet audit de sécurité « bancal » avait oublié, aussi, des cross-sites scripting. ZATAZ a découvert que le portail souffrait de plusieurs XSS, des Cross-sites scripting, qui ont été envoyées à l’équipe technique de Paris.fr pour correction. Le XSS question visait une vieille application /ogc/avis3b/. L’équipe de Paris.fr a fermé le service. « Nous réfléchissons effectivement à proposer un bug bounty sur Paris.fr, termine à ZATAZ.COM le responsable du département Paris Numérique, et sur nos autres sites ensuite« . Aucun doute que la communauté des hackers/cyber citoyens se fera un plaisir de faire économiser de l’argent à la collectivité parisienne.
Prudence à Premium.paris
Le .paris est l’extension de premier niveau gérée par la Ville de Paris. Les noms de domaine en .paris s’adressent « à tous les amoureux de la Capitale et acteurs économiques de la région Île-de-France » explique le site premium.paris. Depuis son ouverture en décembre 2014, le .paris compte déjà plus de 20.000 noms de domaine, permettant à chacun d’associer son projet à la renommée de Paris. Les noms de domaine premium en .paris sont des actifs à forte valeur, mis en vente par la Ville de Paris sur la plateforme dédiée.
ZATAZ.COM a pu constater une faille XSS sur cet espace qui pourrait mettre un malveillant sur votre route via le vol de vos cookies, l’installation d’un logiciel malveillant… Le pirate doit vous envoyer un courriel, ou diffuser son lien sur les réseaux sociaux pour lancer son attaque. Prudence donc ! En attendant une correction, ZATAZ vous déconseille de cliquer sur le moindre lien vous proposant de visiter premium.paris. Préférez taper l’adresse dans votre navigateur préféré.
La Ville de Paris ne vend pas directement de nom de domaine. Cette réservation s’effectue uniquement auprès des bureaux d’enregistrement accrédités auprès du .paris comme OVH ou encore Eurodns.
