27/11/2000 • 17h26
Integra bogue à tout-va
Le serveur Integra, "premier prestataire européen de services d’hébergement à valeur ajoutée pour sites internet complexes", livrait sans difficulté les clés de son module d’administration.
"Integra, beaucoup plus que de l’hebergement internet". À en croire le slogan qui s’affiche en bas de la page présentant ses références, cette société se décarcasserait pour offrir à ses clients un service aux petits oignons. Sauf que les cordonniers étant toujours les plus mal chaussés, Intégra vient d’être victime d’un bug pour le moins comique sur son propre serveur. Postée sur un forum de discussion, l’information a été publiée par le site paranos.com, qui a préalablement averti les techniciens d’Intégra : le site institutionnel de l’entreprise permettait à n’importe quel internaute de se connecter sur le module d’administration puisque le login et le mot de passe de l’administrateur étaient accessibles. Un bon vieux bug des serveurs IIS de Microsoft permettait d’afficher le code source d’une page de connexion au module d’administration. Le mot de passe apparaissait alors en clair.
Cela devient une constante chez Intégra. Début octobre, ses techniciens avaient déjà laissé apparaître le mot de passe de l’administrateur des forums de discussion de Wanadoo. Celui-ci avait alors été utilisé par un (ou des) internaute(s) facétieux et le descriptif des forums avait été "revu et corrigé". Cette fois, c’est le contenu même du site d’Intégra qui pouvait être modifié à distance par n’importe qui. Les méthodes d’accès aux mots de passe, dans les deux cas, sont triviales et un gamin de 12 ans s’intéressant un peu au sujet pouvait aisément les utiliser. Cela pose donc la question suivante : les administrateurs techniques d’Intégra sont-ils des gamins de 10 ans ? Sans doute pas. Philippe Serre, ancien de la SSII Experian et récemment passé chez Intégra pour superviser la partie technique, explique : "Nous avions déjà modifié les sites de nos clients, ils n’étaient donc pas sujets à ce bug. Mais la machine qui héberge le site d’Intégra était passée à travers." Quant à l’attachée de presse de la société que nous avons initialement interrogée sur cette histoire, elle ne "voit pas matière à un article puisque ces problèmes ont été corrigés".
Le bug exploité pour lire le mot de passe d’Intégra:
http://www.securityfocus.com/frames...
Le site des auteurs de l’advisory:
http://www.cerberus-infosec.co.uk
Les copies d’écran des forums de Wanadoo hébergés par Intégra après modification:
http://www.kitetoa.com/Pages/Textes...
Paranos.com:
http://www.paranos.com
|