UMP : Un Mega Piratage !

Leurs numéros de portable ou l’âge de leur(s) enfant(s) sont disponibles depuis samedi sur le Web. Un point commun : ils sont membres de l’UMP.

Les coordonnées et les données personnelles d’un millier de députés, sénateurs, membres de cabinets et collaborateurs de ministres, tous membres de l’UMP, ont été piratées et sont librement disponibles sur Internet – Rue89 a choisi de ne pas « linker » vers ledit site de partage de documents.

Députés, sénateurs, députés européens, chargés d’études, collaborateurs de ministre… près de 1 000 cadres de l’UMP (1 330 adresses e-mail) sont concernés par cette fuite.

Quatre fichiers texte mis en ligne samedi

Des données relativement précises sur les parlementaires UMP sont disponibles sur le site de l’Assemblée (voir, par exemple, la fiche de Bernard Accoyer) mais les données piratées atteignent un niveau de profondeur bien plus important.

Quatre fichiers texte ont été mis en ligne samedi 5 novembre et comportent un grand nombre de données sensibles :

  • numéros de téléphone fixe et portable ;
  • numéros de téléphone prioritaires ;
  • nom, adresse et numéros de téléphone de leurs suppléants ;
  • nombre d’enfants ;
  • année de naissance du cadet et de l’aîné des enfants ;
  • adresses personnelles et professionnelles.

Les données (anonymisées par nos soins) du secrétaire général de l’UMP Jean-François Copé

C’est Eric Valatini, co-fondateur de la start-up Email Angelqui a alerté Rue89. Cette start-up réalise une veille sur les communications publiques entre hackers :

« Nous avons mis en ligne des robots, comme Google qui scannent les moyens de communication des hackers. On a rien volé, tout est public. Cette base de données est sortie de nulle part. Nous n’avons aucun moyen de remonter aux origines du hack. »

3 000 nouvelles victimes dans les prochaines heures ?

Les députés sont particulièrement concernés par cette fuite, mais un certain nombre de données personnelles de ministres ou d’anciens ministres, étant ou ayant été parlementaires, comme Michèle Alliot-Marie ou Marie-Anne Montchamp, ont également fuité.


Les données personnelles de la députée des Pyrénées-Atlantiques, Michèle Alliot-Marie
Des fuites annonciatrices
Le 26 octobre, trois documents, contenant respectivement les informations personnelles de Jean-François Copé, Eric Ciotti et Christian Estrosi ont été mis en ligne. Le même type de données y figurait : numéro de portable et adresses personnelles notamment.

L’origine de cette base de données est floue : le fait que seuls des membres de l’UMP soient concernés suggère que c’est une base de données du parti majoritaire qui a été compromise. Cependant, l’hypothèse d’un hacking politique n’est pas à exclure. Eric Valatini :

« Il y a trois catégories de hackers : ceux qui font ça pour l’argent, qui piratent des comptes en banque, ceux qui font ça pour la prouesse technique et ceux qui font ça pour des raisons politiques, comme les Anonymous ou Lulzsec.

Vu le type de cible, ce sont très probablement des “hacktivistes”. C’est probablement un travail préliminaire. Il est possible qu’ils publient 3 000 noms dans les prochaines heures. »

Eric BessonLionel Tardy ou Jean-François Copé ont été alertés lundi sur Twitter.

Sollicité par Rue89, le service de presse de l’UMP n’a pas encore donné suite.

Voici le communiqué de presse des Hacker en réponse à la soit-disante future attaque en justice du groupe UMP contre les pirates :

“Nous sommes les auteurs de la publication des données « légérement » privées des députés UMP, le désormais fameux « DoX-UMP » :

Nous avons fait un communiqué complet plus tôt aujourd’hui, transmis à un journaliste qui nous a invité à discuter, mais en attendant publication de ce communiqué, si publication il y a, dans le doute nous tenons à signaler (répeter) quelques points importants :

– Aucun site « institutionnel » n’a été attaqué, ni même visé.
– Les données sont issues d’une société d’hébergement & création de sites internet privée. (mes-conseils.fr)
– La faille a été découverte par un « google dork », il s’agit d’une faille SQL flagrante.
– L’exploitation de ce genre de faille s’apprend en quelques minutes avec google/youtube.
– Ces failles SQL étaient présentent sur ~30 sites personnels de personalités de l’UMP.
– L’exploitation de cette faille nous a mené à plus de 160 bases de données, dont la plupart étaient directement liées avec l’UMP.
– Dans ces bases de données, il y avait :
° des centaines (milliers?) de mails
° les identifiants confidentiels de ces députés pour se connecter à des extra/intranets
° certains identifiants confidentiels permettant de se connecter au portail privé de l’assemblée-nationale.

Nous AURIONS PU, en voyant tout ceci :
– écrire des mails en utilisant les adresses officiels de certains députés.
– tenter de pirater le site de l’assemblée-nationale « de l’intérieur ».
– publier TOUTES les données aperçues sur ce serveur, contenu des mails identifiants & mot de passe compris.
– les vendres à des pays étranger ?

Nous avons choisi de ne publier qu’une partie des données, expurgée de ce qu’il y avait de plus sensible.
Nous souhaitions être entendu, chaque jour des centaines de personnes se font pirater leurs données privées transmises à des société privées. données, qui sont ensuite partagées sur le net, dans l’indifférence totale de ces sociétés privées piratées, et des responsables politiques.
Mais ces citoyens ont rarement la chance de tomber sur des pirates qui ne dévoillent pas les mots de passes, ou le contenu de mails.

A ceux qui nous qualifient d’ « irresponsables », et que ce piratage est « grave » nous tenons à demander :

Qui est « irresponsable » ? Qu’est ce qui est « grave » ?
– Ce webmaster qui laisse quasi-ouvert son serveur MySql, qui utilise le même mot de passe PARTOUT, et qui semble très peu regardant quand à la sécurité des données qu’il hébèrge ?
– Certains députés, qui confient à ce webmaster privé leurs identifiants officiels de député ?

A ceux qui nous qualifient de « cyber-idéalistes attaquant la nation », nous tenons à dire que :

– Nous n’avons publié aucun mot de passe permettant d’accéder aux sites institutionnels, malgré leur présence dans la base de données.
– Nous sommes tombés par hasard (-google dork-) sur cette faille, nous avons regardé où elle menait par curiosité avant tout.
– Nous n’avons pas publié la faille en question, ce qui aurait permis à n’importe qui de s’emparer de toutes ces données.
– Nous n’avons ni attaqué ni visé aucun site institutionnel.
– Cyber-Idéalistes tout-court, pourquoi pas !

Alors pourquoi avoir publié ces données ?

Nous avons simplement profité de cette occasion pour mettre l’UMP en face de ses contradictions, situation tellement ironique…
Plus de fichiers = Plus de fuites.
Et plus les fichiers sont « tendancieux », plus le risque de fuite sera grand.

* Il y a quelques mois une loi a été votée autorisant le « fichage de 45 millions de personnes honnêtes », lorsque 566 des 577 députés étaient ABSENTS !
* Il y a quelques jours, Israel s’est « rendu compte » que les données privées de 9 millions de ses citoyens circulaient sur internet.
Plus de fichiers = Plus de fuites.

La gravité de notre piratage et des données rendues publiques, quelques sms, est quelques peu désuette quand on se pose les questions suivantes :

* Que se serait-il passé si ce piratage était l’oeuvre d’un pays étranger, pas forcément très amical, qui aurait pu ainsi envoyer/recevoir des mails avec l’adresse officielle de membres du gouvernement ?
* Que se serait-il passé si ce piratage avait mené à un piratage de tout le site du groupe UMP ou du site l’assemblée nationale et compromettant surement des données réellement sensibles ?

Nous n’avons rien sauvegardé de ce que nous avons vu dans ces bases de données, il n’y aura pas d’autres publications de données de notre part. Nous sommes certes un peu moqueurs, mais pas plus que les personnes visées dans nos premières publications, non ?
Nous ne sommes pas des ennemis des institutions. Nous n’appelons pas à la haine, mais nous soutenons les luttes citoyennes, et même parfois, les luttes « par effraction »!

Moralité :
« Plus de fichiers = Plus de fuites. »

DoX-UMPDox-UMP – Communiqué – UMP DoX – Pastebin.com.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: