Fillon, Macron, Hamon et les pirates Russes
Deux candidats à la présidentielle de 2017, Fillon et Macron, ont leur site de campagne aussi troués qu’un gruyère Suisse. Si les équipes d’Emmanuel Macron n’ont pas tardé à répondre, silence religieux pour François Fillon. Promis, le Protocole ZATAZ n’a rien d’un pirate Russe.
Vous avez dû très certainement le lire dans la presse nationale, les pirates Russes s’attaqueraient à la Présidentielle Française et plus précisément au candidat Emmanuel Macron. Richard Ferrand, le secrétaire Général d' »En Marche« ! a diffusé ce mardi 14 février un message traitant « d’un phénomène nouveau et inquiétant est en train de se produire au cœur de l’élection présidentielle française.«
Pour l’homme politique, porte-parole d’Emmanuel Macron « Il s’agit de l’ingérence d’un régime russe déterminé à déstabiliser l’un des candidats susceptibles de remporter cette élection : Emmanuel Macron. » Le message est clair, en plus des fake news diffusés sur des blogs et journaux Russes, Richard Ferrand site Russia Today et SputnikNews, le site En-marche.fr « et ses infrastructures font l’objet de plusieurs milliers d’attaques mensuelles sous diverses formes.«
Dans la missive diffusée ce 14 février, il est demandé au Président de la République et au Gouvernement « que toutes les conditions de sécurité soient assurées contre les cyberattaques« . Ok ! Ok ! On va freiner un peu le mouvement et vous raconter ce qui se passe vraiment sur les Internet à l’encontre du 2.0 d’Emmanuel Macron, mais aussi des autres candidats.
Smiert spionam
Depuis le 1er février, le protocole d’alerte de ZATAZ a contacté par courriel, puis par Twitter, les différents candidats aux élections présidentielles de 2017 afin de leur remonter une série de failles et de bug pouvant être exploités par des pirates. Pour les trois candidats et leurs sites web, quasiment 60 failles !
Ici, je ne parle pas de pirates Russes, de gouvernements agressifs. Non, juste de pirates venus des quatre coins du globe qui cherchent à briller dans leur société « J’ai hacké machin !« .
A se faire de l’argent en volant les bases de données qu’ils revendront dans le black market comme ce fût le cas des données privées et sensibles de Donald Trump. On y trouve des choses qui rapportent comme j’ai pu le révéler avec le PS et l’avertissement de la CNIL.
A manifester avec des Dénis Distribués de Service. Le DDoS étant devenu un sport international qui, avec quelques euros, permet de bloquer n’importe que serveur, n’importe quand.
Bref, le FSB, Poutine et autres manipulateurs pourraient être plus discrets, surtout face aux failles visant les sites de Fillon, Macron et Hamon. L’agence de presse Reuters indique ce 14 février que le Kremlin dénonce des accusations « Absurdes ». Le journal Relfets avait déjà tiré la sonnette d’alarme. Et comme l’indique le porte-parole d’En-Marche « dans une élection démocratique, la transparence est de mise et chaque candidat à la fonction suprême doit répondre de ses faits et gestes« . Alors jouons transparence !
Il était une fois…
Ils sont mignons les pirates Russes, après les USA, ils s’attaqueraient donc au candidat Français. Il est évidement que les pirates louchent sur des cas et cibles médiatiques. Mes explications sur ce fait sont expliquées plus haut. Mais dire qu’un état est derrière l’attaque, c’est un peu tiré par les cheveux. Il est vrai que si vous lisez les logs de Cloudflare, le service qui « protège » En-Marche, comme ZATAZ, les attaques venues de l’Est sont pléthoriques.
C’est simple, ça brille comme un arbre de Noël. Sauf que les bots [programmes malveillants automatisés cherchant un accès, NDR], les machines de rebond pour les pirates [Proxies], … sont nombreux en Russie, en Chine, comme en France. Un pirate Indien, par exemple, pourra se faire passer sans aucun problème pour un Russe lors d’une attaque contre un site Français.
Les bots, comme indiqué, sont légions. On a pu lire dernièrement dans 20 minutes qu’ils représentaient même 54% des connexions Internet. Certains bots sont programmés pour taper dans les CMS WordPress. Et les sites de Macron, Hamon, Fillon, sont sous WordPress.
Alerte @ZATAZ #1002172203 pour un espace numérique du candidat @enmarchefr @EmmanuelMacron – #cybersécurité @Damien_Bancal
— Protocole_ZATAZ (@Protocole_ZATAZ) February 10, 2017
Ne courez pas changer d’outil d’édition Internet. Il existe des bots pour chaque famille de CMS.
Pour WordPress, les bots vont donc chercher les portes d’entrées. Pour le site En-Marche, c’est simple, les bots n’ont qu’à se gaver. D’abord un site qui n’a pas été mis à jour depuis … 1 an pile-poil. Une version 4.4.2, alors que la version actuelle est à la 4.7.2.
Côté failles, 23 failles/bugs recensés, dont deux SQLi qui pourraient donner accès à la base de données, des XSS (afficher n’importe quel message, voler les cookies, lancer une autre attaque, …), des CSRF … Le site est caché derrière CloudFlare. Cela protège des regards inquisiteurs… ou pas ! Une mauvaise configuration de la « sécurité » du site donnait la véritable IP de « En-marche.fr ».
Il suffisait à un pirate de sélectionner cette adresse et de déverser sa haine numérique pour bloquer site et mails. Petit détail que j’ai remonté à l’équipe d’Emmanuel Macron, plus quelques « trucs » que je ne peux révéler ici.
Bref, 23 failles [site, moteur et plugins] qui ont pu être exploitées, comme ce fût le cas, fin janvier/début février lors de la sortie, en urgence, de WordPress 4.7.2. J’ai référencé plus de 66000 sites touchés car non mis à jour. A découvrir dans mon papier baptisé « Mettre à jour son site Internet ? C’est juste bon pour les bolos !« .
L’équipe d’Emmanuel Macron m’a contacté ce lundi 13 février, sur Twitter, à la suite de deux autres courriels d’alertes [le 07/02 et le 10/02] et de Tweets.
« On a trente bénévoles qui traitent la boite contact, me confirme Mounir Mahjoubi le responsable de la campagne numérique d’Emmanuel Macron, Mais on a encore un retard de plus d’une semaine. On reçoit plusieurs centaines de messages par jour« . Les failles, accès malveillants et autres bugs sont dorénavant dans les mains des intéressés.
Bref, 10 ans après le site d’un autre candidat aux présidentielles, Nicolas Sarkozy, nos politiques ont toujours du mal avec le web ! Je vous expliquais dans les colonnes du Monde comment le site de campagne de Nicolas Sarkozy protégeait très mal les données de ses adhérents.
Écouter les cyber-citoyens lanceurs d’alerte ? Amen !
Pendant ce temps, dans le camp d’en face, François Fillon n’est pas mieux loti sur le web. Son site est encore plus « open » avec plus de 25 failles/bugs. Un WordPress datant … du 2 février 2016 (Vers. 4.3.3). Des possibilités d’attaques malveillantes de pirates Russes, Belges, Français, Américains, Australiens, Philippins, Chinois, Brésiliens… qui pourraient [qui ont pu déjà ? NDR] exploiter des XSS, CSRF, SQL.
Le template Gravida utilisé, version 1.3.8, a 17 mois. Depuis, une version 1.3.9 existe. Mais personne ne semble s’en inquiéter ! Les équipes Fillon ne répondent pas aux mails, aux Tweets du Protocole d’alerte ZATAZ. « Se faut-il que tu parle François, et que je sache quel party tu tiens » [Molière] pour me répondre ?
Alerte @ZATAZ #1002172201 pour un espace numérique du candidat @FrancoisFillon – #cybersécurité @Damien_Bancal
— Protocole_ZATAZ (@Protocole_ZATAZ) 10 février 2017
En attendant, comme pour le Parti Socialiste en mai 2016, j’ai alerté la CNIL afin que la grande dame puisse remettre dans les clous les potentiels fuiteurs de données.
Et pour vous, ami(e)s utilisateurs/trices, pensez à mettre une double authentification et un htaccess à votre espace administration (détail rajouté sur le site de Fillon, il y a quelques heures). Ainsi, les pirates Russes, Belges, Français, Américains, Australiens, Philippins, Chinois, Brésiliens… iront plus facilement se casser les dents.
Et les autres ?
Benoit Hamon a un WordPress mis à jour, mais quelques plugins à corriger comme contact-form-7 et jetpack. Le thème « Campagne », rebaptisé /benoithamon/ et la configuration empêche de regarder du côté des « auteurs ». Bonne habitude. Une énumération des comptes impossibles qui empêche le brute force de l’espace de connexion à l’administration. Bref, beaucoup plus propre. Une sécurité mieux pensée. Mais attention, la sécurité parfaite n’existe pas ! L’éducation et l’écoute sur cette problématique n’est pas à négliger.
Mise à jour :
.@Protocole_ZATAZ au sujet du site @EmmanuelMacron : ok. La trentaine de failles (WP, plugins, autres…) relevée corrigée. #cybersécurité pic.twitter.com/ClUWrVMTrf
— ZATAZ.COM Officiel (@zataz) February 16, 2017
couraient oups courez 😉 Damien faut se relire, mais l’article est très bien
Bonjour !
Effectivement 🙂 Merci
Et le site du FN, il est comment ?
Bonjour,
Vous avez été nombreux, très très nombreux à demander si j’avais des informations sur les autres groupes politiques.
Sans juger les programmes, idées, … uniquement sur l’aspect la démocratie peut-elle être mise en danger à l’image des sites Internet des politiques. Un article est en cours. J’attends toujours que les sites soient corrigés 😉