| 📰 La Revue de TheRaphit.com | Article n° 42 [A] - Page principale | [Article au hasard 🎲] [Précédent] [Suivant] |
Les champions de la fuite de données Ⅱ
Ils sont particulièrement nuls à chier...![[Illustration 'fuites de données']](images/rev42/fuite-clipart.jpg "Oops ! On a laissé le robinet grand ouvert !!")
[Comment c'est possible ?]
Les quelques fuites citées sur la page principale de cet article n° 42 ne faisaient qu'entrevoir la taille de la scène de ce tout nouveau cirque... On ne pourrait même plus qualifier ces cas de partie émergée de l'iceberg, ce serait plutôt : un poil parmi tous ceux du Yéti !
Et s'il y a bien une rare chose que les PNJ ont compris, c'est que la meilleure excuse pour se complaire dans la nullité crasse, c'est de dire que leurs voisins sont aussi mauvais et puent tout autant la mayrde. Alors puisque « ça arrive à tout le monde », il n'y a aucune bonne raison d'essayer d'élever sa compétence à ne serait-ce qu'à quelques centièmes au-delà du zéro absolu.
Quand on vous dit qu'ils suivent tous le même script...
Une véritable institution
Qu'est-ce qui vous retient encore en France ? La culture ? La gastronomie ? Les boutiques de luxe ? Les petites vendeuses de ces mêmes boutiques ?
Non en vrai tout ça, c'est complètement passé de mode. Finito pipo. Plus du tout « glucose » et totalement has-been. Depuis 2025 (et avec une très belle accélération en 2026) le patrimoine de la République de l'Incompétence Française s'est bien étoffé ! Oubliez donc Paul Bocuse et LVMH, la pays est désormais devenu une pittoresque « passoire numérique » - selon les propres termes d'un hacker (!)
![[Site 'bonjourlafuite.eu.org']](images/rev42/bonjourlafuite-site.jpg "Il y a encore plus de fuites de données en France qu'il n'y a de nouvelles taxes ! Il fallait le faire...")
Capture d'écran du site bonjourlafuite.eu.org
Oui, c'est devenu tellement fréquent qu'un site est dédié au recensement des fuites de données, et il y a de quoi lire ! On dirait une compétition sportive d'un goût aussi douteux que les Enhanced Games, au vu de la manière dont ça se tire la bourre. Comme si toutes les DSI du pays s'étaient données le mot en un élan patriotique, avec l'objectif que la France soit enfin sacrée championne du monde d'autre chose que des impôts.
Allez-y, préparez la fabrication des maillots... Et vous pouvez déjà y coller les deux étoiles ★★ pour 2025 et 2026.
Accessoirement, c'est un plaisir de voir qu'il y a encore du monde pour publier du fun quelque peu politiquement incorrect sur Internet. D'autant plus que les propriétaires de bonjourlafuite.eu.org ont visiblement un humour parfaitement compliant avec le TheRaphit's Web Site !
![[AquaPoney !]](images/rev42/aquaponey.jpg "Ils ont vraiment fait un faux site sur l'AquaPoney, qui a l'air très vrai !")
Ils ont cependant l'air de supporter l'existence de la CNIL et regretter qu'elle ne fasse pas son travail (non en vrai, faudrait supprimer définitivement ce truc) ainsi qu'une association militant pour l'application du fameux RGPD - faisant pourtant partie de ces trop nombreux règlements à sigles qui gangrènent l'Europe - mais on ne leur en tiendra pas rigueur. 😎
Par ailleurs, bien qu'affichant une mention « pour savoir pourquoi ça fuite toujours, c'est par ici » vous n'y trouverez pas d'explications techniques. Mais fort heureusement, vous êtes maintenant au bon endroit pour ça !
Comment c'est possible ?
On est sur un rythme de plusieurs leaks par semaine, alors qu'on vit pourtant une époque où les systèmes d'exploitation nous forcent à installer un patch de sécurité tous les trois jours, et qu'il est désormais plus difficile de rentrer dans un datacenter que dans une usine de fabrication de billets de banque.
Alors mais que se pâââaaassssssssss-t-il ??
![[Les Inconnus - Biouman - Mais que se passe-t-il ?]](images/les-inconnus-biouman.gif "Sa-lut bande de tarés ! C'est encore Bernard Minet !! Mais ce-tte fois, c'est pour un-e nou-vell-e fuite de données...")
Il se trouve que ces grosses marades ont principalement deux origines : la compromission de compte utilisateur et les vulnérabilités spécifiques des sites Web modernes.
En les temps immémoriaux du 20ème siècle, les entreprises disposant d'un site Web en assuraient le plus souvent le développement, mais aussi l'administration et l'hébergement. Et tout spécialement les services gouvernementaux... Mais désormais nous sommes entrés dans le monde de la sous-traitance, avec des sous-traitants qui eux-mêmes sous-traitent. Et ce n'est plus dans le but de gagner du temps ou faire des économies, mais bien de prétendre faire ce qu'on ne sait pas faire.
Ainsi, il arrive fréquemment qu'un compte d'utilisateur perdu dans cette mélasse peu ragoûtante de prestataires, et disposant de trop de privilèges (vu que plus personne ne sait qui doit faire quoi ni pourquoi) se retrouve compromis. Cela peut arriver de plein de manières différentes : mots de passe faciles à deviner, vol d'ordinateur portable, ou même informations collectées suite à une précédente fuite...
Mais le grand classique reste l'e-mail contenant un lien frauduleux, méthode qui a l'avantage de passer au travers de tous les firewalls. Et malgré 30 ans d'Internet grand public et de mises en garde, les gens continuent de cliquer n'importe comment sur n'importe quoi. C'est terrible ça aussi... Vraiment, pas de cerveau.
![[Fuite Macif]](images/rev42/macif-fuite.jpg "Ca craint du boudin...")
Le « collaborateur » négligeant reste d'ailleurs la cause la plus fréquente des intrusions informatiques, et ça n'a pas attendu 2025. Mais le fait est qu'en plus, on confie de nos jours les clés de toute la grappe de serveurs au premier PNJ venu, le célébrissime « développeur junior » qui en est à son quatrième stage mais qui ne comprend toujours rien à rien. Ah oui, le monde de l'entreprise, ça ne ressemble pas à ce qu'on apprend dans ces fameuses soi-disant « grandes écoles ».
![[Développeur junior]](images/rev42/developpeur-junior.jpg "Bientôt remplacé par de l'IA, ça sera limite mieux pour une fois...")
Dites-vous bien qu'aujourd'hui en cycle « ingénieur », il y a davantage de cours de « management » que de formation à l'administration systèmes et réseaux. Mais c'est parfait pour bien préparer ces bullshit-jobbers de demain à aller travailler dans des grosses structures, pressées par les gouvernements de recruter pour obtenir des marchés, quand il ne s'agit pas des états eux-mêmes.
Ah oui, on va vous répéter jusqu'à l'éclatement des tympans que « il faut bien les faire travailler, ces petits jeunes ». Euh bah sur des architectures contenant des données de santé comment dire... C'est non ?
Cela reste toutefois sur ce type de fuite que les organismes ayant été attaquées sont le plus susceptibles de communiquer. Très probablement car cela permet de se défausser sur un des prestataires, qu'on choisira au hasard. C'est le bien connu « c'est la faute à l'ordinateur » version twenty twenties.
![[Les Dupondt - C'est la faute à l'ordinateur]](images/rev42/dupondt-lafaute.jpg "Il ne manque plus qu'Henri de la pub IBM pour « coller un virus d'Internet »")
Pour les autres, ce n'est généralement pas le cas... Sûrement parce que les entités visées n'entravent absolument rien à ce qu'il leur est arrivé - pas plus que leurs sous-traitants.
On a régulièrement pesté sur La Revue qu'il est particulièrement ennuyeux que désormais, tous les sites se ressemblent.
Mais cela n'est pas seulement un hasard, du copier-coller ou de la flemme. Aujourd'hui, plus personne n'écrit de pages Web directement en HTML, à part la grande équipe de votre webzine favori. Tout passe par des applications usine-à-gaz appelées CMS (pour Content Management System) permettant le design d'un site à partir de templates pré-définis, d'éléments graphiques à placer en point & click, le tout en travaillant directement depuis une fenêtre de navigateur.
![[Interface de Omni CMS]](images/rev42/omnicms-interface.jpg "Ca a l'air pratique comme ça, mais ça apporte son semi-remorque d'emmerdes...")
Pour que ces binious tentaculaires puissent fonctionner, cela nécessite évidement bien plus que du HTML, et énormément de code (troué) dans des langages divers et variés. Mais vu que les CMS intègrent un système de publication (notez le petit bouton vert en haut à droite sur la capture ci-dessus), ils ont aussi besoin d'un accès relativement privilégié au serveur HTTP qui va héberger le futur site - et la plupart du temps ils sont directement installés dessus.
Il faut donc, à un moment ou à un autre, entrer quelque part dans la configuration du CMS les identifiants permettant l'accès à la machine ou au répertoire en question. Et bien souvent, toutes les données de l'application sont ensuite copiées au même emplacement que le site Web, dans des fichiers supposés être cachés.
Mais « petit » problème : vu que tout le monde utilise maintenant des CMS et qu'il n'y en a pas non plus des zillions sur le marché, ces fichiers finissent par être bien connus, et suivant la (mauvaise) configuration de l'hébergeur ou les bugs des CMS, ils sont parfois accessibles publiquement ! Les serveurs Web sur Internet subissent donc quotidiennement des requêtes provenant de robots visant à récupérér le contenu des dits fichiers, en essayant toutes les combinaisons possibles.
195.178.110.103 nunakeau.noellys.net - [19/Apr/2026:00:18:28 +0200] "GET /config/secrets.yml HTTP/1.1" 404 2439 "https://185.49.123.106/config/secrets.yml" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:121.0) Gecko/20100101 Firefox/121.0"
195.178.110.103 nunakeau.noellys.net - [19/Apr/2026:00:18:28 +0200] "GET /config/database.yml HTTP/1.1" 404 2439 "https://185.49.123.106/config/database.yml" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36"
195.178.110.103 nunakeau.noellys.net - [19/Apr/2026:00:18:28 +0200] "GET /secrets.json HTTP/1.1" 404 2439 "https://185.49.123.106/secrets.json" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36"
195.178.110.103 nunakeau.noellys.net - [19/Apr/2026:00:18:28 +0200] "GET /credentials.json HTTP/1.1" 404 2439 "https://185.49.123.106/credentials.json" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36"
Ceux-ci devraient bien sûr avoir été supprimés ou rendus inaccessibles
une fois le site mis en production...
Cela vous paraît un peu trop gros ? Mais pourtant au 21ème siècle il y a un principe bien connu disant que « plus c'est gros, plus ça passe » ! Et c'est ici une parfaite illustration du modèle de sous-traitance à outrance vu plus haut. La mise en ligne d'un site officiel (au hasard, d'une agence ou collectivité d'état) suit un processus d'allers-retours à grands coups de maquettes et de réunions korpo-kravatte.
![[Reunion Korporate]](images/rev42/korpo-kravatte.jpg "Toi aussi sors épanoui d'une réunion-cravatte où il a été décidé de déployer un CMS troué bien pérave")
Si l'un des intervenants n'est pas satisfait, alors le stagiaire-junior ne va même pas se faire chier à tenter d'adapter, car cela ne fait pas partie de ses répliques pré-enregistrées. Il va simplement essayer le CMS suivant dans son script, qui va proposer d'autres templates.
Et si dans un improbable alignement des planètes, quelqu'un repasse derrière et pense à bloquer l'accès aux fichiers de la nième application installée, ceux des CMS numéros 1 à n − 1 ne manqueront pas d'être oubliés... Tout en contenant toujours les identifiants d'accès au serveur de production. Bawi bien sûr, pourquoi se faire chier avec un serveur de développement, un laboratoire ou un VPN ? Le client a déjà payé le serveur, autant l'utiliser !!
De véritables PNJ encore plus braindead que tout ce qu'on avait déjà vu, et qui ont eux aussi bien gagné leur place sur cet article.
Vu la centralité des sites Web de nos jours - on s'abonne sur un site, on s'inscrit pour des démarches administratives sur un site, on paie ses impôts sur un site (beaucoup trop) - ceux-ci sont interfacés avec tout un tas de bases de données contenant les fameuses données utilisateurs qui se retrouvent volées.
![[Site 'service-public.gouv.fr']](images/rev42/servicepublic-site.jpg "Envoyez toutes vos informations personnelles à l'état... Ayez confianssssssss")
![[Site 'inpi.fr']](images/rev42/inpi-site.jpg "Formalité d'entreprise : mettre tous ses comptes à disposition des espions russes")
Et même si ces bases sont la plupart du temps logées sur d'autres serveurs censés être « très sécurisés » et RGPD-compliant des burnes dorées de pépé, le frontend HTTP a toujours la possibilité de les consulter, ne serait-ce qu'en lecture seule. Et compromettre le serveur Web provoque alors une chaîne d'escalade de privilèges aboutissant à la fuite.
Si vous souhaitez voir un cas concret de ce genre de chose, il y a notamment eu le piratage de YggTorrent du mois de mars 2026.
![[Capture d'écran du serveur]](images/rev44/screenshot-machine-oracle.jpg "Capture d'écran du fameux serveur de développement de YggTorrent, obtenue par le pirate Gr0lum")
Bien que la plateforme disposait d'un serveur Web de développement (capture d'écran ci-dessus), celui-ci était accessible depuis tout Internet, sans firewall, et mal sécurisé. Et un fichier contenant les identifiants du compte Administrateur y avait justement été oublié après son installation ! Mais surtout, alors que cette machine aurait dû rester isolée du reste de l'infrastructure, elle avait en fait un accès complet à celle-ci en mode privilégié...
Ah là là, l'erreur fatale !
Faut-il avoir peur ?
Ce type de piratage est souvent commis par des hackers très jeunes, qui veulent juste se faire mousser plutôt que de réellement mettre la main sur des données sensibles.
D'autant plus que cela se monnaie assez mal sur le fameux Darknet, et à plus forte raison lorsqu'il y en a de plus en plus à vendre. Et en vrai, qui s'intéresse réellement au nom de jeune fille de votre soeur ou de la couleur de votre chat à part des data brokers qui tentent de refourger de la shitasse à d'autres data brokers ?
![[Post de vente de données]](images/rev42/datasell.jpg "Toi vouloir données noble étranger ? 'God' vend pour pas cher ! (Il y en a qui se prennent vraiment pas pour de la merde)")
Ces informations dérobées peuvent éventuellement servir à monter des escroqueries assez grossières, visant à récupérer les données (bancaires notamment) ne faisant le plus souvent pas partie des fuites, en envoyant des courriers ou e-mails imitant la charte graphique de l'organisme piraté. Et il y a toujours quelques gogos pour se faire prendre.
Mais franchement, pour entrer son IBAN sur des sites dont l'URL est
https://mise-a-jour-sante.fr/ ou https://mes-demarches-assurance.fr/reglement/ il faut quand même être un sacré PNJ du niveau de tous ceux qui
ont laissé fuiter...
Nombre de visiteurs
depuis le 13 mai 1997.
[Accueil] [C'est quoi ?]
[(Tout)2 Evangelion]
Webzine : La Revue
[Manga Pink Zone]
[Mathématiques]
[Nouveautés] [Téléchargements] [FAQ illustrée]
Site créé le 16 janvier 1997
©1997-2026 by TheRaphit
www.theraphit.com