Les cordonniers seraient-ils les plus mal chaussés, aussi sur le web ?
C’est ce que l’on pourrait penser à la lecture – inquiétante – de cette histoire, publiée par un hacker roumain sur HackersBlog : le pirate (ou appelez ça comme vous voulez) affirme avoir eu accès aux bases de données du site de l’éditeur de logiciels de sécurité et d’antivirus usa.kaspersky.com, en utilisant la méthode d’injection SQL qui consiste à manipuler l’url d’un site en y ajoutant des tentatives de requêtes SQL vers la base de données.
Après avoir réussi son injection de code, le dénommé « Unu » a récupéré toutes les données de la base, à savoir les utilisateurs, les codes d’activation, listes de bugs, identifiants des administrateurs, shops, et le prouve en publiant sur le forum la liste des tables trouvées dans la base.
Unu précise qu’il n’a fait aucune exploitation malicieuse des données, dont il masque soigneusement les éléments sensibles sur les captures d’écran qu’il publie sur le site HackersBlog, et qu’il a tenté en vain d’alerter à plusieurs reprises Kaspersky par email durant plusieurs jours après sa découverte. N’obtenant pas de réponse il s’est décidé à publier samedi 7 février son exploit afin de faire réagir l’éditeur, qui reconnaît à demi-mots avoir découvert une tentative d’attaque sur un de ses sites, neutralisée selon lui en 30 minutes chrono.
Si le site de l’éditeur de l’un des logiciels de sécurité réputés les plus efficaces au monde est vulnérable aux attaques, on ne peut plus se fier à personne ma parole.
(source)
23 commentaires pour "Le site de Kaspersky hacké !"
1
Charliend le 9 février 2009 à 15:06
Effectivement c’est inquiétant! Surtout pour les identifiants des administrateurs…
2
kmenslow le 9 février 2009 à 15:14
De toutes manières, il y aura toujours des petits malins qui ont la capacité de hacker un programme ou un site. Nul n’est infaillible.
3
eMeRiKa le 9 février 2009 à 15:27
kmenslow, il y aura toujours des pirates qui arriveront à hacker. Mais l’injection SQL n’est pas l’oeuvre d’un pirate expérimenté mais de monsieur tout le monde qui trouve cette astuce suite à une petite recherche sur Google.
Cela montre que leur site est vraiment mal sécurisé !
4
David BONIN le 9 février 2009 à 15:29
Serge humpich, le retour !
5
Eric le 9 février 2009 à 15:35
@eMeRiKa
J’aurais eu tendance à penser comme kmenslow, mais ta réponse m’a calmé
6
Bob le 9 février 2009 à 15:40
Il y a toujours de moyen pour se protéger contre ce type d’attaques (reverse proxy filtrant, détecteur de code malicieux, etc…) mais évidemment ça coute de l’argent et il semblerait que ces éditeurs aient, comme beaucoup, préféré faire des économies de bout de chandelles en jugeant que la perte potentielle d’informations ou la dépréciation de l’image de la société par ce type d’attaque ne valait pas les quelques dizaines de milliers de dollars investis dans une telle solution…
Ceci dit, je suis prêt à parier que dés la semaine prochaine les budgets nécessaires vont être débloqués comme par magie comme c’est souvent le cas !
7
Djeby le 9 février 2009 à 15:44
Moi j’ai essayé de hacker le blog d’Eric!
Résultat : je me suis pris une giclée de citron dans l’oeil… j’ai dû tomber sur un pépin!
Non je déconne je manie le html à la truelle…
8
Miss Conversion le 9 février 2009 à 17:04
Cher M. Dupin,
Vivement le 26 février, qu’on se rencontre au club de la communication Rhône-Alpes avec Olivier et les autres…Je peux vous appeler avant
Demain par exemple ?
à bientôt,
9
fru le 9 février 2009 à 17:31
ahhh
enfin une news sur un roumain autre que ce qu’on entend habituelle à la tv (genre : les tziganes roumains ont encore volé, etc etc)
Bravo Unu si spor la treaba
10
mphilibert le 9 février 2009 à 18:02
D’un autre côté c’est sûrement une grosse prise sur son tableau de chasse de hacker, le site de Kapersky…
11
francis le 9 février 2009 à 19:15
Alors Eric ce livre de lecture du week-end « developpement durable 2.0″ Ã litre ou pas ?
12
charles-antoine le 9 février 2009 à 20:36
Le pire dans l’histoire c’est qu’il a essayé de prévenir l’administration de Kaspersky et qu’on lui a claqué la porte au nez ! Je pense que les entreprises n’ont pas encore compris l’importance de la veille stratégique digitale
13
Eric le 9 février 2009 à 20:54
@francis,
Juste commencé, je n’ai pas passé le week-end dessus
14
Cerium le 9 février 2009 à 21:10
Qu’ils se fassent hacker n’est pas forcément étonnant/inquiétant, ils doivent probablement faire parti des sites qui subissent le plus de tentatives diverses et variées… Mais l’injection SQL, est tellement connue que cela semble étrange qu’un site de cette envergure se fasse avoir avec ça… J’espère que leur AV est mieux conçu car c’est celui que j’utilise ^^
15
Maska le 9 février 2009 à 21:27
@eMeRiKa
Heu, je suis désolé mais, s’il suffisait d’une petite recherche sur Google comme tu dis, pour que tout le monde puisse à volonté pirater les bases de données de n’importe quel site web ou de tout serveur sécurisé comme celui de Kaspersky par exemple, ça se saurait un peut quand même…
Et il y a une (très grande) différence entre:
1 \ Trouver une faille et la publier ou la communiquer aux administrateurs du site en question (zeroday).
2 \ Trouver une faille, la garder secrète pour ensuite l’exploiter par ses propres moyens.
3 \ Être informé d’une faille par un tiers et savoir l’exploiter.
4 \ Et pour finir, copier un petit script trouvé sur le web pour « pirater » une BDD en n’ayant que quelques bases (parceque si tu connais des sites indexés par google qui offrent des solutions clef-en-main pour pirater les serveurs de Kaspersky ou autre, je suis preneur…)
Et je ne vois pas ce qui te fait dire que le hacker en question n’est qu’un vulgaire ScriptKiddy qui n’a fait que copié/coller un script XSS ou autre Exploit qui traînait sur Milw0rm ?
Qui te dit que ce n’est pas lui qui a découvert la faille et qu’il l’a exploitée par ses propres moyens et connaissances en programmation ?
Et surtout, c’est quoi ces phrases à l’emporte pièce du genre « Un pirate expérimenté n’utilise jamais d’injections » ???
C’est comme si tu disais « un contorsionniste de par sa souplesse ne s’abaisserait jamais à allumer la lumière de sa chambre en utilisant ses doigts »
Bref et, avec tout le respect que je te dois, tu dis n’importe quoi, désolé.
Le travail qui a été fait par ce Hacker (dans le sens noble du terme) est à saluer pour moi.
16
Magic le 9 février 2009 à 21:30
Il faut faire attention, créer un logiciel qui permet de détecter les virus, un firewall, et sécuriser un site web, ça n’est pas le même domaine de compétences.
J’ai toujours trouvé leurs sites (mis à part le site anglophone) un peu « cheap »…
Au vu des captures d’écran, ça ressemble fortement à des injections SQL à l’aveugle, et ça n’est pas si aisé que ça ! Bref, j’ai lu la news ce week-end déjà , j’ai beaucoup ri devant les réactions des gens qui désinstallaient tout de suite leurs anti-virus puisqu’ils ne se sentaient pas en sécurité, alors que pirater un site web, et pirater une machine personnelle, ce sont deux choses bien différentes ! On peut pirater une machine personnelle grace à une mauvaise action de son utilisateur (avec tous les contrôles que l’on peut voir sous XP-SP2+ et Vista, vous ne pourrez plus dire que vous n’étiez pas prévenus ^^), un site web, c’est de la faute du/des développeur(s)…
Tout ça pour dire, ne paniquez pas ^^
17
LilGuru le 9 février 2009 à 21:51
C qui est marrant c que le gars arrive a hacker le site de Kaspersky mais peut pas tracer une ligne droite sur paint!! Le comble du programmeur!
18
/\/ le 9 février 2009 à 22:57
@ Maska
Dans le fond eMeRiKa a raison hein.. Le fait que le site soit vulnérable aux injections SQL est une preuve de négligence ou d’un manque de compétence certain à un moment ou un autre. Tout ton blabla ne sert à rien, c’est le seul point avancé par eMeritruc qui importe. Que le white hat soit un ouf ou pas, ca n’a pas la moindre importance.
19
Maska le 10 février 2009 à 00:04
@N Mon Blabla à le mérite d’être un minimum argumenté…
Et ton commentaire qui consiste à dénigrer d’un revers de main ce que je dis uniquement pour soutenir le propos d’un autre qui en substance affirme que, pirater la base de donné du site US de Kaspersky est dans l’absolu à la portée de « Monsieur tout le monde » pour peu qu’il sache faire une simple recherche sur Google me laisse franchement dubitatif pour ne pas dire mort de rire…
20
AM le 10 février 2009 à 00:56
@Maska en même temps les injections SQL ne sont pas d’une très grande technique… Ok ok faut connaitre le language SQL. L’un des language les plus simple à apprendre…
21
eMeRiKa le 10 février 2009 à 10:47
@Maska je n’ai jamais dit qu’une simple recherche Google permet de hacker n’importe quel site. Oula mais tu vas loin dans tes explications après, faut pas me faire dire ce que j’ai pas dit !
Il faut juste savoir que le premier blaireau venu qui cherche des infos sur le sujet va trouver Injecton SQL (il s’agit de mettre un bout de code SQL dans un formulaire). Ce qui est donc accessible à un grand nombre…
Il ne s’agit pas de trouver une faille en testant les ports du serveurs ou en volant des sessions ou je ne sais quelle autre technique.
Enfin je sens que tu vas encore t’enflammer donc pas grave, j’aurai au moins essayé de t’expliquer que Injection SQL = premier niveau de hacking qui ne nécessite aucun logiciel et très peu de connaissances.
22
RENE GENEVIEVE le 12 février 2009 à 23:19
Je ne comprends pas, il sont pourtant protégés par Norton, chez Kaspersky…