Le serveur du Studio, un petit hébergeur parisien, était administrable à distance. La faille de sécurité béante était due à des liens indiscrets mis en ligne, et à un mot de passe administrateur peu subtil.
Une mégarde doublée d’un oubli : le serveur du Studio, un petit hébergeur parisien, était accessible au tout venant. Au lieu d’afficher le sempiternel " page en cours de construction ", l’hébergeur avait laissé en page d’accueil de ses sites clients l’analyse de leur trafic. Cette page d’analyse - déjà très indiscrète - affichait quantité de liens concernant les sites hébergés. En cliquant aléatoirement sur les liens correspondants, l’internaute curieux finissait par se voir proposer une fenêtre pop-up lui demandant d’entrer un mot de passe utilisateur. Qui n’était autre que le mot de passe basique fourni avec le logiciel d’exploitation du serveur. A ce stade, plus aucun souci : l’internaute devenait maître des lieux et pouvait administrer le serveur à distance. A l’écran, une console de pilotage lui permettait au choix, via son navigateur, de redémarrer la machine, de changer les mots de passe des administrateurs ou les pages d’accueil des sites hébergés. Contacté par téléphone, le responsable du serveur interloqué a vérifié la configuration de ses machines. Tout d’abord une mégarde : le relevé du trafic apparaissant sur les pages d’accueil de sites en construction était dû à un logiciel en test. Il n’aurait pas dû être apparent. Ensuite un oubli : celui de reconfigurer le mot de passe administrateur. Deux erreurs qui ouvraient grand les portes du Studio à l’internaute fureteur. Confus et reconnaissant, l’hébergeur a reconnu ses erreurs. Et a juré - mais un peu tard - qu’on ne l’y prendrait plus.
DR |