Ayant reçu le dernier exemplaire du magazine Capital, et ayant trouvé le temps de le lire (ce qui, il faut l'avouer, est relativement exceptionnel), je suis tombé sur un petit article tout meugnon intitulé "Alerte! Ce logiciel iranien pille nos sites internet". Titre alarmiste, qui de fait a attiré mon attention (et je dois avouer que le méchant pirate qui tient le laptop sur la première page fait son effet).
Un étrange screenshot ...
Ce qui a attiré mon attention, c'est l'écran du laptop (qui doit être un insert réalisé grâce à un logiciel de retouche -- BP was there) qui affiche l'interface de ce logiciel-dont-on-ne-connait-pas-le-nom (EDIT: Havij, trouvé grâce à notre ami Google avec une recherche de 3 mots) car Capital ne veut pas le donner: “Désolé pour les pirates en herbe, on ne vous donnera pas le nom de ce logiciel”.
Mais si on regarde attentivement cette interface, on peut y voir une zone réservée aux logs du logiciel. Si l'URL présente dans le champ "target" a bien été modifiée, celle présente dans les logs est quant à elle bien réelle et différente de celle-ci:
Et là, c'est le drame ...
.. et l'URL d'un site vulnérable
L'URL présente dans les logs correspond bien à un site existant, et qui plus est vulnérable !
D'ailleurs, le log donne toutes les informations nécessaires: serveur MySQL version 5.X, injection SQL dans un champ entier, etc ... De même, il fournit aussi la database par défaut ...
Travail mâché, des deux côtés
Autant le début de l'article commence bien, en voulant préserver le nom du logiciel employé, autant la photo affichée donne tous les éléments utiles à des pirates en herbe pour pirater le site de Paris Event Ticket, clefs en main... La faute aux iraniens ?
