Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Le site Internet du TGI de Bonneville diffusant des fichiers piratés : Lecture alternative

Le site Internet du TGI de Bonneville diffusant des fichiers piratés : Lecture alternative
2009-01-062013-02-11actualités et événementsfr
Selon des informations publiées sur quelques sites d'informations, le site web du TGI de bonneville aurait été la cible d'attaques informatiques. Suite à la lecture des échanges sur des forums, une analyse différentes peut être faite ce qui s'est passé. Il s'agirait plus d'un...
Publié le 6 Janvier 2009 par Jean-François Audenard dans actualités et événements

De prime abord, l'affaire est plutôt cocasse : Le site Internet du Tribunal de Grande Instance de Bonneville aurait été la cible d'attaques informatiques et permettrait le téléchargement de films et logiciels piratés...

On pourrait se dire que les auteurs de ce méfait (doublement répréhensible par la loi) ne manquent pas d'humour et n'ont pas froid aux yeux : Chatouiller les doigts de pieds d'un géant peut être dangereux.

A la lecture des différents articles parus ici et là, je suis allé consulter cet après-midi le fameux site pour me faire une idée et je m'attendais à trouver un site "officiel" tout neuf tout propre. A ma grande surprise, ce n'était pas le cas.

Étrange pour un site appartenant à la sphère gouvernementale et bénéficiant donc de l'attention de personnes très compétentes dans le domaine de la sécurité des systèmes d'information. Bizarre, bizarre.

Pour faire simple, je dirai que nous n'avons pas eu affaire à une intrusion mais plutôt à un concours de circonstances.

En effet, souhaitant visualiser le site du TGI de Bonneville (il était environ 13h30/14h00), je suis arrivé sur une page blanche très dépouillée indiquant un conflit quant à une redirection de site émanant visiblement d'un particulier (Avec le prénom d'un certain Florian)...

Plutôt intéressant car le site accessible à l'URL(http://www.tgi-bonneville.justice.fr) a comme "base" le nom de domaine "justice.fr" qui est ; dixit les bases de l'AFNIC ; sous le contrôle du ministère de la Justice. Cette URL d'accès au site Internet du TGI de Bonneveille est tout à fait légitime (je dois dire que je me suis posé la question...) : Une vérification sur cette page du site du service-public.fr vous confirmera qu'il n'y a pas d'erreur.

Une lecture des echanges sur les forums de Linux.fr (Here) et ubuntu (Here) permet de se faire une meilleure idée de ce qui se serait passé.

En tentant de reconstituer la chronologie de ce qui s'est passé :

1) Le TGI mandate une WebAgency pour monter leur site web

2) La WebAgency héberge ce site sur un serveur mutualisé dédié d'un hébergeur français.

3) Pour X ou Y raisons, le serveur mutualisé et arrêté, le TGI ne met pas à jour sa zone DNS en conséquence. A compter de ce moment, le site du TGI de Bonneville "disparaitrait" du web car les requêtes n'aboutissent plus.

4) Quelques temps après (? X/Y mois ?) une personne tierce (le dénommé "Florian") souscrit à une offre de serveur dédié et se voit allouer l'adresse IP (désormais libre).

5) Ce "Florian" met en ligne sur son serveur des contenus de type "films et logiciels" et semble aller un peu trop rapidement dans la configuration de son serveur web... Nous serions ici environ vers le 26 Décembre. C'est à ce moment que le site web du TGI est de nouveau accessible mais délivre un contenu différent que celui attendu. L'information et reprise ici et là et une intrusion est déclarée...

.... Cette analyse peut être erronée (totalement ou en partie)... Peut-être que nous ne connaitrons jamais la fin réelle de l'histoire sur ce qui s'est réellement passé (ou pas). Si intrusion réelle il y avait eu, celle-ci n'aurait pas pris autant de temps à être détectée par les personnes en charge de la sécurité des sites de l'administration (le CERTA en l'occurrence), que ce soit entre le 26/12 et le 05/01 ou encore suite aux articles publiés dans la presse en ligne.

Ce que je peux en retirer :

1) Toute entité doit vérifier le contenu et l'exactitude du contenu de ses zones DNS, ce préférablement de façon automatisée. Tout changement, désactivation ou inacessibilité d'une machine doit être l'objet d'une investigation.

2) Mettre en ligne des contenus "limites" est à proscrire : Dans ce cas précis, le "Florian" n'a vraiment pas eu de chance car il ne pouvait pas plus mal tomber... Ceci dit, une configuration adhoc de son serveur web lui aurait peut-être permis d'éviter tout ce ramdam.

3) Les informations publiées en ligne sont à prendre avec des pincettes... Celles-ci y comprises... Vous voilà prévenus.

Je profite de ce bulletin pour vous présenter les meilleurs voeux de la part des auteurs du blog sécurité !

MAJ 07/01/09 (13h50): Quelques mises à jour mineures (erreurs de frappe, etc...) et correction du point 2) car il s'agit d'un serveur dédié et non pas mutualisé. Merci à Vince pour la relecture attentive !

MAJ 07/01/09 (15h41): La situation vient de repasser dans la zone "verte". Le site Internet du TGI de Bonneville est de nouveau accessible via son URL "normale".

1 Commentaire

  • 9 Janvier 2009
    2009-01-09
    par
    Florent
    De mémoire des méthodes de hack d'avant an 2000 des équipes scannaient des milliers d'adresses IP toutes les nuits à la recherche de services vulnérables.
    Ils donnaient les adresses intéressantes aux équipes de hack et zouh un ftp était installé.
    Et une 3ieme équipe se chargeait de mettre du contenu sur le serveur.

    Dans le cas du TGI ça me semblait aussi bête que ça. Genre un gars a trouvé une adresse IP sans savoir qu'une adresse DNS pointait dessus.
    Le plus étonnant était quand même l'effacement total du site web pour mettre directement les fichiers dans la racine... Niveau furtivité c'est le pire qui existe.

    Du coup l'explication d'un problème de routage me parait plus logique.

    J'avais lu des rapports d'ovh expliquant comment ils luttaient (essayaient) contre le piratage. Pas évident contrôler comment sont utilisés leurs serveurs loués...

    Voici quelques uns de leurs guides :
    http://guide.ovh.com/MachineHackee
    http://guide.ovh.com/MachineSemiHackee
    http://guide.ovh.com/MachineSemiHackee2

    Enfin ça doit être pire chez les hébergeurs qui acceptent paypal :)

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage