Adveris avait installé une porte cachée dans les sites de ses clients

Posted On 28 Mai 2018

Une porte cachée dévoilée ! L’informatique a de petites finesses qui peuvent rapidement très mal tourner. Pour preuve, le cas de la société Adveris. Un pirate vient de diffuser des informations sur les clients et une backdoor installée dans chaque base de données par l’hébergeur.

Qu’un accès à un site Internet, sous forme d’ une porte cachée, soit installé par un intégrateur, on peut l’imaginer, même si cela est à mes yeux une hérésie. Que ce même intégrateur oublie de parler à ses clients de cette backdoor. Cela devient de la folie. C’est le cas qu’est en train de vivre la société parisienne Adveris.

Cette société de communication numérique vient de se retrouver avec une sacrée épine dans le pied. Ce 28 mai, un pirate a écrit à ses clients en leur indiquant qu’une backdoor donnait accès à leurs informations. « La société qui a réalisé la conception de votre site Internet a oublié de vous dire (sans doute ?) qu’elle a mis VOLONTAIREMENT un accès (login/password) présent en BDD mais qui n’est pas listé dans la page de gestion des administrateurs du site.« .

Plus grave, le mot de passe de cette administration « fantôme » est identique dans l’ensemble des sites web clients. Le pirate, qui a utilisé un webmail chiffré et sécurisé (donc anonyme, NDR) a fourni le login et le mot de passe dans sa missive. D’autres pirates n’ont plus qu’à se servir, s’installer, modifier …

Fermez une porte cachée que je ne saurais voir !

J’ai contacté des clients impactés. Je connaissais deux entreprises présentes dans le lot des société jetées en pâture. « Nous avons reçu le courriel du corbeau, ce matin [Du 28/05, NDR]. Nous n’étions pas au courant de cette backdoor. Je comprends mieux, maintenant, la présence d’un cryptomineur, dans notre site, il y a quelques semaines« .

Contacté par mes soins, Adveris m’a indiqué ne pas être au courant de ce piratage, mais que cet accès [porte cachée] était « une ancienne méthode de travail ne visant que d’anciens clients« .

Ancienne méthode, mais avec un mot de passe toujours d’actualité. Au passage, le sésame comportait 5 lettres, 4 chiffres. Un « truc » qui se casse en moins de 42 minutes en mode « attaque distribuée » selon le site Mon Password est-il sécurisé ?

Malestro, oiseau de mauvaise augure ?

Alors, qui est donc ce mystérieux lanceur d’alerte ? Son pseudo est inconnu. Il signe « Mauvais » en espagnol. Ce Grey Hat Hunter rajoute dans son document diffusé sur le web les injections SQL visant les sites des clients d’Avertis. Des injections qu’il affiche avec des extraits de bases de données comportant les identifiants de connexions à l’espace administrateur : la backdoor et l’officiel. Un ancien employé ? Une infiltration plus poussée d’un pirate ? L’enquête judiciaire qui devrait normalement suivre nous le dira peut-être ! Le document diffusé par Malestro indique « Part. 1« . Y aura-t-il une suite ?

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.