Des pirates passent par le site de la CNIL

Posted On 12 Mar 2017

Tag: Apache Struts, cnil, CVE-2017-5638, DxB, piratage

Un espace du site Internet de la Commission Nationale Informatique et des Libertés perturbé par deux pirates informatiques. L’administrateur du site de la CNIL a oublié de mettre à jour son Apache Struts.

Je vous parlais, la semaine dernière, d’une faille visant un outil web Apache Struts. Je vous indiquais avoir recensé plus de 29 millions de sites faillibles dont d’importants espaces francophones. Je n’avais pas souhaité les nommer afin de laisser le temps aux administrateurs de faire leur travail, patcher ou fermer les espaces incriminés le temps de corriger. Seulement voilà, à première vue les piratins ont sauté sur l’occasion de cette vulnérabilité et ont modifié des espaces non mis à jour.

Dernière victime en date, et pas des moindres, l’espace déclaration de la Commission Nationale Informatique et des Libertés [https://www.declaration.cnil.fr].

Un espace du site de la @cnil piraté. La faille Apache Struts exploitée : https://t.co/0t5Yvxv0Vj #cybersécurité @zataz pic.twitter.com/7lPzEcC7D2

— Damien Bancal "o/" (@Damien_Bancal) March 11, 2017

Des pirates informatiques opportunistes

Les deux pirates, ils ont signé DxB, qui ne sont que des utilisateurs de méthodes diffusées cette semaine, ont affiché un message très personnel sur le site de la CNIL : « Nous sommes 2 vous avez perdu d’avance on nique vos sites et vos soeurs freelesfrerevictimedebavurespoliciere on braque paris passechezSo ADMIN VOUS ETES DES NOOBIES vice cblx« . A noter que la pages erreur du serveur a été modifié pour afficher ce même message.

Vous avez dit Script-Kiddies [Débutants en langage informatique, NDR] ? Certes, mais ils prouvent qu’il ne faut pas être un génie de l’informatique ou un pirate à la solde du gouvernement Russe pour réussir, malheureusement, à réaliser des nuisances sur le web sur le dos d’administrateurs partis en week-end.

Le pirate précise qu’il a créé son propre script pour lancer ses modifications. A noter que l’un des auteurs m’a précisé sur Twitter que « J’arrête là, je voulais juste faire passer un message à la CNIL« .

72 Protocoles ZATAZ ont été lancés au sujet de cette faille et d’importants sites Internet Français.

Mise à jour Dimanche : L’espace « Déclarations » incriminé a été fermé pour correction.

Mise à jour 2 : Plusieurs sites Ministériels ont été touchés ces dernières heures comme l’espace « e-services » dédié aux professionnels de santé libéraux ; l’espace Pro Douane ou encore le portail gouvernemental dédié aux réseaux et canalisation [Ineris] sans parler du site internet-signalement.gouv.fr fermé le temps de la correction, après une attaque. La Banque Belge psabank.be, ainsi que d’importantes entreprises comme Century 21 ont, elles aussi, été impactées. Les malveillants utilisent des scripts qui exploitent la vulnérabilité Apache Struts signée CVE-2017-5638 et corrigée depuis le 10 mars 2017.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.