Quand Capital s’amuse à pirater des sites web

Le magazine Capital du mois d’août 2009, en kiosque depuis le 23 juillet, met le feu aux poudres et livre un article exclusif et explosif sur les sites web d’entreprise. Et le titre en dit long : « Pirater un site Web d’entreprise, un jeu d’enfant ! » Les journalistes se sont tout simplement « amusés » à pirater les sites de sociétés telles qu’Orange, Virgin Mobile, HP, Amaguiz ou encore Facebook ! « Pas besoin d’être un pirate pour trouver un trésor : quelques clics et un peu d’astuce nous ont suffi pour forcer la porte de nombreux sites d’entreprise » affirme le journaliste, preuves à l’appui avec un tableau récapitulatif des infos récoltées, de ce qu’auraient pu en faire des pirates, et du temps de réaction des entreprises concernées.

Le principal problème que l’on retient à la lecture de l’article est que les sociétés n’accordent pas assez d’importance à la sécurisation de leur site web. D’autre part, une fois la faille détectée, la réaction de la société est plus ou moins inquiétante. Ainsi Orange a réagit immédiatement et a bloqué son site le temps de le sécuriser, Virgin Mobile a réagit en 24 heures et HP immédiatement. En revanche, d’autres résolvent le problème en un mois voire deux mois pour Facebook, par exemple. Enfin, d’autres ne réagissent pas. Capital expliquent concernant les sites Lactel, Francine et Lustucru que « prévenues par nos soins en mars dernier, les trois sociétés n’ont toujours pas réagi ». (Le magazine est parvenu à se procurer « l’identité et les adresses mail des centaines de gagnants du jeu concours Crêpes en fête organisé en février derniers »).

Alors comment a fait Capital pour devenir un véritable pirate du web et ce apparemment si facilement ? L’article commence ainsi et donne le ton « Fidèles de Virgin Mobile, vous pouvez remercier Capital. Pendant des semaines, votre opérateur téléphonique a laissé traîner sur son site Internet tout un tas de données confidentielles vous concernant : nom, adresse, numéro de téléphone, code secret, identification Imei de votre appareil… Il suffisait de taper sur son clavier un numéro de facture pour la faire apparaître à l’écran » Autres exemples à propos d’Orange : « Pour permettre à ses clients d’accéder à leur facture sans délier les cordons de la bourse, la société leur fournit par e-mail un mot de passe ultrasecret, qui se trouve être un simple numéro. Comme chez Virgin Mobile, il suffit d’en connaître un et de le faire varier (en l’augmentant de 1, puis de 2, etc.) pour avoir accès aux comptes personnels de 400 000 usagers de la maison », et de Hewlett Packard : « nous avons accédé sans difficulté à un fichier comportant l’adresse e-mail des 5 millions de lecteurs de la lettre d’information du groupe ».

Les journalistes n’ont pas profité de leur trouvaille, ils ont averti les sociétés, mais les pirates eux en auraient tiré parti ! A propos du site Virgin Mobile, Capitale explique que : « un hacker facétieux – et prêt à commettre un délit pénal – n’aurait eu aucun mal à bloquer autant de lignes qu’il le souhaitait en quelques minutes. » A propos d’Orange : « Inutile de dire que la concurrence aurait adoré entrer en possession d’un tel fichier. Et les accros aux sites pédophiles plus encore, car il leur aurait permis de surfer à loisir sur le Net en usurpant l’identité des utilisateurs d’Orange. »

Plus grave encore, Capital a réussi à accéder via le site Titre emploi service aux dossiers Urssaf de dizaines de milliers d’employeurs : « Numéros de Siret, fiches de paie des salariés, données bancaires complètes… » et explique « Cette caverne d’Ali Baba aurait permis mille manipulations à des flibustiers malintentionnés, de la création de vraies-fausses sociétés à l’espionnage économique, en passant par toutes les arnaques bancaires possibles et imaginables. Estomaquée par notre découverte, la direction de l’Urssaf a illico fermé son portail pousse-au-crime. En oubliant au passage de prévenir les entreprises cotisantes des risques considérables qu’elle leur avait fait courir. »

Sources : La Vie numérique