Le nouveau service de notifications SMS d'Algérie Poste: Pourquoi le numéro de mobile n'est pas unique ?

Rédigé par Karim Khelouiati - - aucun commentaire




J'ai essayé le nouveau service d'ALGÉRIE POSTE en ce qui concerne les notifications par SMS des opérations CCP.

La demande est très intuitive, et très bien pensée, on se retrouve avec un tableau de bord, pour de futures modifications.



Il y a deux choses qui ne me plaisent pas, la première est le prix pour chaque SMS qui est de 10 DA la notification, je trouve ceci très onéreux, connaissant que le prix public moyen d'un SMS est de 5 DA, et sachant qu'ALGÉRIE POSTE a du négocier un contrat de gros, et proposer ce dernier à 10 DA c'est beaucoup.

POURQUOI UN MÊME NUMÉRO DE MOBILE PEUT GÉRER PLUSIEURS COMPTES CCP !!!!????
Le deuxième point qui est d'envergure, et que j'ai testé par hasard , c'est que le système d'ALGÉRIE POSTE accepte un même numéro pour plus d'un compte CCP.



J'ai fais l'opération pour mon compte CCP, et ensuite j'ai essayé avec celui de ma femme, et le système a accepté le plus normalement possible l'opération, avec le même numéro de mobile !!!

Donc ce qui me donne un aperçu sur le fonctionnement de ce système de notification, qui ne fais aucunes vérification.!!!

Avec cette façon de faire, cette option ouvre une faille énorme de sécurité de l'information.



APS.DZ LES DESSOUS D’UNE ATTAQUE

Rédigé par Karim Khelouiati - - 3 commentaires

Le 31 Mars 2017 vers 15h06 locale (heure d’Algérie) la page d’accueil du site web principal de l’Agence de presse Algérienne à été modifier, laissant apparaître une photo animée qui est la marque de fabrique d’un (hacker) Algérien,


J’ai essayer de comprendre comment le site web officiel d’une institution aussi importante peux subir ce genre d’attaque, voir ici le cache de l’exploit http://www.zone-h.org/mirror/id/29001052  (Attention la bande sonore contient une chanson pour adultes)


En premier lieu , je me suis documenter sur le site de l’APS, quelle est le type d’hébergement (dédié ou mutualisé), l’emplacement géographique réel du site (hébergement physique), et enfin qui est chargé du technique (le Whois),


Première surprise, je découvre que APS.DZ est sur un serveur dédié aux USA, plus exactement au Massachusettset au Kansas !!!!







Et pourtant le Ministre de la Communication avait signifier sur les colonnes du quotidien LIBERTÉ datant du 28 Novembre 2016 de la nécessité que les sites d'informations électronique soient hébergés physiquement en Algérie. Voir le Lien .


Je ne vais pas encore développer sur la nécessité que la machine qui héberge un site qui gère toute la communication d'une nation soit en Algérie, cela fait plus de 15 ans que je le répète.... bref.



Passant maintenant à l'attaquant, cette personne qui a pus changer la page d'accueil en changeant simplement le fichier [index.html], est un jeune qui à déjà fais cela des centaines de fois, mais n'a jamais toucher un site Algérien.
En faisant une petite analyse sur sa chaîne YouTube et sa page Facebook, nous nous rendons vite compte que cette personne utilise des scriptes tous fait émanant du darknet, qu'il est arabisant, qu'il est situé géographiquement dans une zone entre Bouira et Tizi Ouzou, son age se situe entre 19 et 26 ans.
En sommes c'est un script kiddies ou Lamer (tout bonnement un débutant utilisateur de tous ce qu'il peut ramasser sur internet)

Juste après avoir commis son forfait, il a poster sur sa page Facebook en donnant les liens etc




En fin de soirée , coup de théâtre , l'attaquant efface les publications sur sa page Facebook liées au forfait de l'APS et désactive sa chaîne YouTube. !!!
Ce comportant nous assure que la personne à été manipuler.



Le modus operandi  
Il y a pas 36 chemins pour faire cela: les principales pistes sont:

1- l'exploitation d'une faille non encore colmaté du CMS utilisé par l'APS, en l’occurrence SPIP.
Si le staff technique à omis de faire des mises a jours de sécurité, mais j'ai totalement écarter cette voix puisque l'APS à d'autres sites régionaux qui eux sont héberger en Algérie chez FAWRI et qui sont aussi sous SPIP et qui ont été épargner.

2- L'exploitation d'une faille sur le système d'exploitation de la machine qui héberge le site, puisque APS.DZ est sur un serveur dédié. c'est fort possible , surtout si l'infogérance n'est pas assurée par la société américaine et que c'est le staff technique qui s'en occupe.

3- L'injection d'un cheval de troie (trojan) par courrier ou autres, au niveau des locaux de l'APS qui guette une connexion FTP, des lors qu'une personne de l'APS tente d’accéder au site en ftp il accroche des bouts de codes sur les fichiers distants, ouvrant une porte dérobée, donnant l’accès direct à l'attaquant. même cette technique est à oublier, suivant le même raisonnement que la première.


Conclusion, tout porte à croire que c'est l'OS de la machine qui à été attaqué en utilisant une vulnérabilité qui n'a pas été patchée à temps.

Je vous laisse à vos commentaire, mais je laisse ouvert ce billet en attendant d'autres info.
Fil Rss des articles