NRJ échappe à un piratage de masse

Posted On 23 Mar 2015

Le groupe NRJ échappe à un piratage de masse qui aurait pu faire d’énormes dégâts.

Mi-mars, la rédaction de ZATAZ est alertée par une source anonyme d’un piratage possible dans l’un des serveurs du groupe NRJ. NRJ Group est une société spécialisée dans l’audiovisuel. On connait son fer de lance, la radio NRJ, ainsi que sa chaîne de télévision diffusée sur la TNT, ADSL et Satellite, NRJ 12.

En quelques heures, la rédaction de zataz.com va découvrir que le pirate aurait pu faire beaucoup plus de dégâts que dans l’affaire du piratage TF1/ViaPress. Bases de données, logiciels pirates cachés et modifications de contenus numériques auraient pu être orchestrées. Alertées par le protocole d’alerte de zataz, les équipes informatiques du groupe NRJ ont rapidement pris les choses en main. Failles corrigées et Shell (Backdoor – Porte cachée) ont été retirées du web.

Un des espaces était infiltré par une porte cachée, une backdoor.

L’un de ces passages secrets pirates était caché dans le serveur gérant le sous domaine afriquedusud.nrj.fr. NRJ a dû modifier l’ensemble des mots de passe de ses bases de données qui ont pu être corrompues. Des mots de passe au format MD5 qui, dans la moitié des cas, auraient pu être déchiffrés en quelques minutes par un pirate informatique. Même sanction pour un compte Instagram du groupe.

Un problème informatique qui aurait pu permettre à un pirate de s’attaquer aux « partenaires » de NRJ via les opérations publicitaires mises en ligne pour Carrefour, La Poste, Yves Rocher, Phillips, Panasonic, … Des espaces qui visaient aussi ceux utilisaient par NRJ 12, Rire et Chansons, Nostalgie, Chérie FM.

Les injections SQL sont les attaques les plus communes car elles sont très simples et très dangereuses. Dans un formulaire d’authentification sur un site, un pirate renseignera à la place du mot de passe par exemple une requête en langage SQL (le plus souvent). Celle-ci, si elle n’est pas bloquée, sera envoyée au serveur et lui permettra d’accéder au compte dont il a rentré l’identifiant (par exemple ‘admin’), sans avoir besoin du mot de passe. L’attaquant pourra donc potentiellement avoir accès à tous les autres comptes, donc à toute la base de données !

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.