[Découverte d'un bug de sécurité sur CCM] [Résolu/Fermé]

Signaler
Messages postés
2
Date d'inscription
jeudi 19 avril 2001
Statut
Membre
Dernière intervention
29 août 2006
-
Messages postés
23763
Date d'inscription
dimanche 26 août 2001
Statut
Modérateur
Dernière intervention
13 janvier 2020
-
Je viens de recevoir un mail intitulé "[Découverte d'un bug de sécurité sur CCM]" dont le texte suit :

Lettre d'information de Comment ça marche? du 28 août 2006

Edito

Je ne suis ni admin, ni modo de CCM, juste un visiteur qui passait par là.

Je voulais signaler la découverte d'un bug de sécurité, qui m'a permis d'envoyer ce message.

Merci.

@+ L'envoyeur masqué.


Quelqu'un d'autre l'aurait il reçu également et y aurait-il, à votre avis, un risque pour les données personnelles des membres enregistrés ?

6 réponses

Messages postés
605
Date d'inscription
mercredi 6 juin 2001
Statut
Membre
Dernière intervention
29 août 2006
33
Oui il semblerait que nous soyons nombreux à avoir reçu ce message mais je ne pense pas que nous craignons quelque chose du moins de la part de cet interlocuteur, sinon il ne se serait pas donné la peine de nous prévenir ainsi.
0
Utile
Messages postés
18568
Date d'inscription
lundi 15 février 1999
Statut
Webmaster
Dernière intervention
24 octobre 2020
62 648
Bonjour,

Effectivement un individu à réussi à se connecter à la page d'envoi de la newsletter, qui est normalement protégée par un mécanisme de contrôle d'accès (htaccess). Cette personne a trouvé l'adresse en essayant au hasard.

Il faut savoir que le site CommentCaMarche fonctionne sur plusieurs serveurs web derrière un répartiteur de charge. La ligne protégeant l'accès à ce répertoire était malheureusement absente dans le fichier de configuration d'un de ces serveurs.

Pour le retrouver, il m'a suffit de chercher dans les journaux d'activité des serveurs toutes les adresses IP s'étant connecté sur cette page. Il y a eu deux IP à se connecter à cette page hier, dont une sur ce serveur, et je peux voir que la page a été appelée car le serveur a également chargé les images pour cette page.

Il m'a donc suffit de reprendre cette adresse IP et de refaire son parcours sur les pages du site pour trouver la porte d'entrée :-)

Je rassure tout le monde, cette personne n'a eu accès à aucun code, ni à aucun fichier du serveur.

Le message étant plutôt sympatique et étant donné que je suis plutôt bon joueur, je m'abstiendrais de porter plainte auprès de Wanadoo ! Ami utilisateur de Wanadoo au Plessis-Bouchard si tu me lis, la prochaine fois envoie plutôt un mail à l'administrateur plutôt que d'envoyer un courrier électronique à tous les abonnés.
0
Utile
Messages postés
596
Date d'inscription
jeudi 21 février 2002
Statut
Membre
Dernière intervention
25 octobre 2012
116
Vous devriez peut-être exécuter un script en crontab pour vous assurer de la bonne redondance des fichiers sur les serveurs derrière le répartiteur de charge ?

Thierry
0
Utile
...A titre d'information, si vous découvrez des failles sur des sites web, il est préférable d'en avertir l'administrateur au risque sinon d'être poursuivi en justice...


Le risque d'être poursuivi n'étant bien sur valable que dans le cas où la faille détectée serait utilisée à des fins destructrices, provocatrices ou de quelconque façon préjudiciable au dit site...

Il me semblait important d'apporter cette précision !

Thierry, de Lyon...
0
Utile
Messages postés
23763
Date d'inscription
dimanche 26 août 2001
Statut
Modérateur
Dernière intervention
13 janvier 2020
2 929
Le risque d'être poursuivi n'étant bien sur valable que dans le cas où la faille détectée serait utilisée à des fins destructrices, provocatrices ou de quelconque façon préjudiciable au dit site...
Pas du tout, la loi (dite loi godfrain) parle de l'accès et du maintien dans un système, même si on y fait rien !

"Article 462-2
Quiconque, frauduleusement, aura accédé ou se sera maintenu dans tout ou partie d'un système de traitement automatisé de données sera puni d'un emprisonnement de deux mois à un an et d'une amende de 2.000F à 50.000F ou de l'une de ces deux peines. Lorsqu'il en sera résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, l'emprisonnement sera de deux mois à deux ans et l'amende de 10.000F à 100.000F."
Messages postés
12
Date d'inscription
lundi 5 juillet 2004
Statut
Membre
Dernière intervention
5 août 2010
2
Salut Jeff et bonjour à tous
je suis depuis pas mal de temps fidele à CCM et j'adore explorer les sites webs sans pour autant vouloir y faire des "choses"crades et illégales.Pour moi il s'agi là simplement d'étudier la structure de ces sites pour en tirer une connaissance en matiére de construction de site.Par contre je réprouve le fait de se servir d'un quelconque serveur pour pirater les adresses mail de celui ci et s'en servir dans un but mal intentionné...
Par contre ,je suppose que ce "HACKER" ,trés sympa au demeurant, a voulu tout symplement tester ses propres connaissances , soit pour s'amuser ou pour réellement tester la sécurité des serveurs de CCM et en faire partager sa découverte.Je dis celà car il est trés facile de cacher son adresse ip ainsi que toutes traces que vous pouriez laisser lors de tels "exploits", de nombreux sites consacrés au "Hacking"ou "Priratage en bon français"vous expliquant en long et en large toutes les méthodes possibles et imaginables!!!!
Quoi qu'il en soit je n'ai pour ma part pas reçus ce fameux mail et je suis tout a fait d'accord avec la clémende dont CCM a fait preuve à l'égard de cet indélicat internaute.
Si ,comme moi ,vous trouviez par hazard une faille ou un bug quel qu'ils soient sur un site,vous y gagnez à prévenir l'administrateur ,car celui ci peut vous demander votre collaboration pour combler cette fille ou méme vous faire parvenir des "trucs" à tester en tant que collaborateur ou beta testeur.
NE BRISEZ PAS LE FRUIT DU TRAVAIL DES AUTRES & LA SOIF DE CONNAITRE ET D'APPRECIER DE L'INTERNAUTE LAMBDA
lechti64
0
Utile
Messages postés
6709
Date d'inscription
jeudi 16 juin 2005
Statut
Contributeur
Dernière intervention
2 décembre 2019
950
celui ci peut vous demander votre collaboration pour combler cette fille

MOUARF !

Désolé...

OK, je sors --------> [CLAP !]
Messages postés
497
Date d'inscription
lundi 31 juillet 2006
Statut
Membre
Dernière intervention
30 novembre 2006
180 >
Messages postés
6709
Date d'inscription
jeudi 16 juin 2005
Statut
Contributeur
Dernière intervention
2 décembre 2019

PTDR !! Arrête je me marre comme un con au bureau maintenant...
il m'est deja arriver de trouver une faille du genre sur un site internet

www.e.creditlyonnais.fr

etant relativement honnete je n'en ai pas profiter

a vrai dire je ne sais meme pas si j'aurai su l'expliter :p

mais bref, j'ai envoyer un mail au webmaster du site en question et ben meme pas un merci, la faille a eter corriger mais ils ne s'en sont pas vanter lol... tout les site ne sont pas comme CCM

jai quand meme garder un piti sreen du rep racine de leur site hehe... pour la posteriter :D

je sais pas si je peux le poster sur ce site (enfin je trouve pas la marche a suivre pour joindre n fichier :p)

voila c'était histoire de participer
0
Utile