Piratage d’un shop de vape : ce qu’il ne faut absolument pas faire

piratage-informatique

Edit 19H52 : commentaire épinglé

Bonjour,

je suis le gérant de la structure affécté par le piratage.

Nous rassurons l’ensemble de nos clients, aucune données bancaires n’a été volé par les hackers.

Le piratage consistait simplement à immobiliser le site et de multiple autres plates formes qui sont hébergé par Mavenhosting ont subis le meme préjudice.

Le site sera de nouveau en ligne avec encore plus de nouveautés début de semaine prochaine.

A bientôt et surtout une excellente vape à tous…

Ce billet va être chiant, un peu dogmatique, mais voilà, il y a des choses qui m’énervent. Je prendrai toutefois soin de ne pas rentrer dans les trucs trop techniques même s’il y a amplement matière tant cette histoire est un cas d’école.

Voir une boutique en ligne de vape se faire pirater par un boutonneux pour jouer les cadors sur Zone-H au nom de la révolution tunisienne, ça ne me plait pas. J’ai bien trop de respect pour le travail accomplis par les hacktivistes tunisiens afin de reprendre leur liberté pour rester de marbre quand je vois ce pitoyable spectacle. Qu’il affiche ses têtes de morts de l33t haxor en page d’accueil de la boutique de vape en question qui par ailleurs propose usuellement du chouette matos, ça ne me plait pas, c’est vraiment emmerder le monde gratuitement pour aller comparer la taille de sa zigounette sur un forum.

… Mais que plus de 24h après le piratage, les clients n’aient pas reçu le moindre mail alors que pendant ce temps, le gérant du shop poste des selfies sur Facebook, ça, et bien ça me fout hors de moi. Vous attendez quoi pour savoir si la base de données de votre site a été volée et tenir vos clients informés de ce « petit détail » qui peut avoir une incidence terrible sur leur vie quotidienne (usurpation d’identité, vidages de comptes bancaires et j’en passe) ?

Dans les nombreux sites marchands de vape qui ont poussé sur Internet ces trois dernières années on a de tout. Depuis le geek passionné qui a tout fait lui même à la société qui s’est adressée une entreprise compétente en matière d’hébergement, d’infogérance et de développement en passant par les je m’en foutistes qui prennent la responsabilité de confier la réalisation et la maintenance de leur site web (et donc des données personnelles de leur clients), à un proche qui même s’il est doué, en l’absence de contrat, ne sera pas le plus enclin à faire des mises de sécurité rapides pour prévenir les fuites de données clients.

Oh les mecs ! Vous ne jouez pas à la dinette là ! Vous n’avez pas mieux à foutre que de poster des selfies en noeud pap’ sur Facebook à l’heure qu’il est ? Vous avez un site de commerce en ligne, vous stockez des données personnelles d’utilisateurs et vous avez pour obligation LEGALE et MORALE de tout mettre en oeuvre pour que ces données ne tombent pas dans les mains de tiers non autorisés.

Pour ce qui est de l’aspect légal, vous trouverez un écho à ces propos dans l’article 34 de ce vieux texte poussiéreux de 78 connu sous le nom de loi informatique et libertés  qui dispose :

Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Dans notre cas précis je vous laisse découvrir l’article 226-17 du code pénal qui sanctionne le manquement à ces obligations  :

Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.

24h après le piratage, les clients ne sont toujours pas informés de la nécessité de changer leur mot de passe Paypal si ces derniers ont utilisé le même mot de passe pour s’inscrire sur le site piraté que pour leur compte sur ce site de paiement en ligne qui donne un accès direct à leur compte bancaire. Et c’est bien pratique puisque le site piraté offre souvent en plus du mot de passe le mail identifiant. Il existe d’ailleurs un règlement européen particulièrement limpide sur la question : la transparence n’est pas une option, c’est la règle.

Maintenant, parlons de l’aspec moral… Si se faire pirater n’est en soi pas « grave » (oui ça peut arriver à tout le monde), le fait de ne pas avoir mis à jour depuis plusieurs mois le système de gestion de contenu (WordPress) utilisé pour la boutique et ses modules (WooCommerce) alors que ces deux là ont subi plusieurs mises à jour critiques ces dernières semaines, c’est de l’inconscience. C’est mettre les données de ses utilisateurs en danger. C’est d’autant plus rageant que ces mises à jour se font d’un simple clic de souris et qu’on ne peut pas rater les avertissements dans le backoffice. Le fait de ne rien communiquer sur une éventuelle compromission des données des utilisateurs et de poster des selfies sur Facebook comme si de rien n’était, c’est carrément du foutage de gueule. À l’heure qu’il est, votre place est dans un commissariat pour déposer une plainte ou devant le clavier pour rédiger un communiqué à vos clients les invitant à prendre les dispositions nécessaires pour limiter la casse.

Le professionnalisme quand on a un shop en ligne de vape, ça ne se limite pas à savoir coiler un atomiseur.

Partager cet article :

Twitter Facebook Google Plus mail

24 comments

    1. Non la base de données du wordpress ne contient pas d’information bancaires. Ces données se trouvent chez le tiers de paiement, la banque Paypal ou un autre. Le problème en revanche et que certaines des informations dans la base de données du site piraté peuvent servir à accéder aux données bancaires frauduleusement, notamment via Paypal ou en piratant les boites mail pour accéder à… tout (en se faisant renvoyer les mots de passe).

      1. Houla du calme,

        Comme tu la dit plus haut les données bancaires ne sont pas stockés sur le site, elle n’y transite même jamais (du moins pour cette configuration la)…il n’y à donc aucun problème de ce coté la.

        Le risque en ce qui concerne Paypal que tu évoques est celui que le hacker(trouduc) accède aux donnés des clients et notamment leurs adresse mails principales et les mots de passes de leurs comptes clients, puis que le « hacker », tente de ce que connecter en utilisant les mêmes infos sur la boite mail au petit bonheur la chance,

        Sauf que … les mots de passes dans MySQL sont pas en clair ^^, alors un md5 ça se brute force Ok, mais encore faut-il qu’il est eu accès a la BDD, qu’il arrivent à brute forcé chaque key, que les key qu’il arrive a décrypter correspondent aux mêmes mots de passes que ceux utilisé sur les boites mails, bref c’est pas gagné 😉

        Le plus gros risque serais plutôt de remplacer les redirections vers des clones des plateformes de paiements, et collecter les datas,

        PS : Après pour le coups des MAJ, wouep c’est ballots lol, mais bon du e-commerce sur WordPress … sérieusement … xD

        1. « correspondent aux mêmes mots de passes que ceux utilisé sur les boites mails, bref c’est pas gagné » : entre 15 et 20% des utilisateurs.

        2. Bellal c’est pas parce qu’ils sont saltés qu’ils ne sont pas pétables. On parle d’une boutique de vape, pas d’un forum de cryptographes. 7*/10 il suffit de se rendre sur la page facebook du user pour déduire le mot de passe. Et puis y’a les dicos pour ça.
          Donc non désolé ton argument du « oui mais c’est chiffré » ça tient pas la route.

        3. Si ton mots de passes est relativement correct, bon courage pour le dico,

          Concernant facebook je vois pas le rapport, c’est quoi la donnée sensible ? l’adresse email relativement publique.

          Je suis pas entrain de dire, que c’est risque zéro, ni même que la boutique n’a aucune responsabilité, que l’on soit bien d’accord, mais c’est pas instantanément « Usurpation d’identité, vidages de comptes bancaires et j’en passe »,

          Les systèmes E-commerce, sont conçus pour ne pas permettre aux administrateurs des sites d’avoir accès au informations bancaires, paypal, etc … des utilisateurs, et quelques simples bonnes pratiques des utilisateurs limites énormément la casse (complexité non ré-exploitation des mots de passes ).

          S’insurger contre google/facebook/apple/dropbox etc qui paume des bases de données entières même pas salté, je suis 100% avec toi, maintenant un shop probablement une TPE/PME, qui pêche par manque de connaissances, de moyens,ou d’un prestataire douteux, … J’aurais essayé de rentrer en contact avec eux avant, et si ils n’avaient pas réagi, aurait fait comme toi ^^

        4. Là, on entre dans le domaine de la sélection naturelle, quand même… autant ne pas faire les mises à jour de sécurité sur un truc ouvert à tous vents, c’est vilain ; autant réutiliser des mots de passe (faibles, sûrement) de moyens de paiement pour des choses anodines, faut en tenir une couche telle que peu importe ce que tu feras pour les protéger, ils finiront quand même par se tirer une balle dans le pied, d’une manière ou d’une autre.

          Protéger les gens d’eux-même, ce n’est ni particulièrement souhaitable, ni même faisable…

  1. en tout cas j’ai appeler 5 fois de suite et personne ne répond au téléphone, aucune comme sur facebook le site toujours en rade
    et mémé pas un remerciement pour les avoir avertit hier en publiant la photo sur leur site.

    il est clair et net que je ne serais plus jamais client chez eux c’est irrespectueux de laisser les clients dans le flou total, une boutique qui cherche juste a prendre du fric sur notre dos.

    et comme dit dans l’article quand ont est un professionnel on demande pas a un particulier de gérer un site si il n’a pas les connaissance requise pour protéger convenablement celui ci. mais bon sa coute moins chère que de payer un webmasteur.

  2. Bonjour,

    je suis le gérant de la structure affécté par le piratage.

    Nous rassurons l’ensemble de nos clients, aucune données bancaires n’a été volé par les hackers.

    Le piratage consistait simplement à immobiliser le site et de multiple autres plates formes qui sont hébergé par Mavenhosting ont subis le meme préjudice.

    Le site sera de nouveau en ligne avec encore plus de nouveautés début de semaine prochaine.

    A bientôt et surtout une excellente vape à tous…

        1. en meme temps sur wordpresse dans le back office y a une rubrique mise a jour si il s sont pas foutu de cliquer dessus ont peux rien faire pour eux

        2. D’après ce que j’ai observé ce matin, c’est encore plus comique.
          Le wordpress déployé cette nuit était un 4.1.5 (toujours pas à jour, toujours vulnérable à des trucs critiques.
          Ce matin, surprise, au lieu de mettre à jour, on passe à une version inférieure, encore plus trouée ! En 4.0.5. Oui la page reame.html a été virée, mais cette version est toujours leakée par le meta-generator. On ne le répetera jamais assez, c’est pas en cachant la poussière sous le tapi qu’on fait le ménage…

          Evidemment, le site n’est pas en mode maintenance, pas de htpaswd pour bloquer l’accès au site en chantier, bref, on fait tout en live, shop et paiement ouvert.
          Je ne parle pas des versions de plugins comme le joli xss dans facebook connect par exemple.

          Mais pourquoi avoir downgradé ?

          En fait c’est relativement simple. Je soupçonne de mauvaises pratiques de développement qui ont probablement conduit à hardcoder des modifications dans le woocommerce ou le wordpress lui même, interdisant ainsi un bon fonctionnement dans une version à jour.

          Bref c’est une démonstration en live de tout ce qu’il ne faut pas faire. J’ai rarement vu ça.

  3. Bonne nouvelle, le site est maintenant à jour, wordpress et modules compris… même si on pourrait encore durcir la configuration, le niveau de sécu est maintenant acceptable pour les clients… Et effectivement ça fait plaisir de le revoir en ligne car il y a du beau matos.

  4. A aucun moment de votre inscription à notre site vos coordonnées bancaires ne nous sont transmises : lors des paiements nous utilisons le module de paiement PAYPAL et vos coordonnées sont enregistrées de façon sécurisée et cryptée chez eux (et non sur notre site). Par conséquent, aucune de ces informations n’aura pu être récupérée par le hacker, étant donné que PAYPAL est sécurisé et n’a pas été victime de piratage.
    Le site étant trop infecté nous allons créer un site plus protégé et plus ergonomique, nous vous tiendrons au courant de la date de la réouverture du nouveau site.
    Nous nous excusons pour la gêne occasionnée !

  5. Martial martial je vous informe que nous avons subi une attaque sur notre site et nous sommes victime d’un sabotage. Le message d’information a été mis le lendemain du hack pour rassurer nos clients. Jamais nous avons été là pour « une boutique qui cherche juste a prendre du fric sur notre dos ». Comment vous pouvez jugé? d’ou vous avez le droit de faire ca? c’est facile quand on est derrière un écran. On a travaillé pendant un an pour créer notre site et en 2 heures on a bousiller notre travail. Si vous voulez vérifier notre travail et notre passion venez en boutique au centre commercial le polygone 34500 Béziers et vous verrez par vos propres yeux les 27 marques de e-liquides et les 90 mods différents disponibles. Nous allons re créer un site encore plus ficelé et protégé. Au lieu de critiquer les victimes critiquez la personne qui a détruit un an de travail. Sur ceux bonne vape et bonne journée

  6. C’est tout de même moche d’écrire autant de conneries. Reste sur la vape, visiblement l’informatique et surtout ce qui touche à la sécurité te dépasse. Tu fais de la désinformation que ce soit dans l’article comme dans les commentaires.
    Merde arrêtez de vous prendre pour des pros parce que vous surfez sur Tor ou lisez des forums.

Répondre

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *