e.creditlyonnais.fr tout nu sur le net ...

Retour
au sommaire

Les autres
articles :

Hotline

"Les Pirates du Net"

Le Film

Le fameux Virus

Quelques précisions sémantiques
sur les pirates

Quelques
pages piratées

Les undersites

Anonymat sur le net

Votre ordinateur
est-il un espion ?

Yahoo piraté ?

Kevin Mitnick

e.creditlyonnais.fr tout nu sur le net ...

Par Capitaine KIDD - 6 septembre 2000

Internet a révolutionné le système bancaire ! Tous les analystes vous le diront ...
Après de nombreuses hésitations, les mastodontes du secteur bancaire français ont décidé de s'y mettre à leur tour, avec plus ou moins de succès.

Le retard acumulé par ces mêmes banques face aux jeunes start-up a poussé les dirigeants et/ou les développeurs de sites à la faute.


recto		verso

Et oui. La page que vous avez sous les yeux est la page qui figurera d'ici quelques jours à l'adresse officielle de l'agence virtuelle à 100% en ligne comme elle se définit elle-même. Cette page en toute logique ne devrait pas être accessible ... et pourtant toute personne armée d'un simple Navigateur peut la voir.

Dessine-moi un serveur ...

D'où provient l'erreur ? Il faut savoir que les concepteurs de sites sérieux disposent généralement de deux types de serveurs :

un serveur de développement : comme son nom l'indique, c'est celui qui sert au développement du site. Il n'est généralement pas accessible par l'Internet. Les concepteurs y apportent toutes les modifications jusqu'à la mise en ligne définitive.

un serveur de production : c'est celui qui est en ligne, quand la version définitive du site a été réalisée.

Ces règles de base ne semblent pas être connues des développeurs du site du Crédit Lyonnais, qui ont mis en ligne un site non achevé. Quand on vous dit que l'Internet bouleverse tous les modes de pensée ... ce n'est pas tellement faux.

Quelles conséquences ?

Les implications d'une telle anecdote sont nombreuses :

une telle affaire permet de montrer à nouveau que les acteurs de la Nouvelle Economie, dans leur précipitation (il faut à tout prix être le premier sur le créneau afin de devenir le nouveau Yahoo! ou Amazon) font des erreurs de débutants ... et perdent ainsi toute crédibilité,

de telles erreurs peuvent amener les clients d'une telle société à se poser légitimement des questions sur le sérieux de leur banque ...

les concurrents, dont on ne met pas en doute les capacités de veille technologique, se délecteront d'une telle aubaine. Armés d'un simple navigateur ils pourront amasser un grand nombre d'informations prétendues confidentielles (design, structure du site, services offerts, ...) et ainsi préparer une contre-attaque au lancement d'un tel site.

Cette affaire, qui suit de très près l'affaire Zebank (mise en évidence par nos amis de Kitetoa il y a quelques semaines) prouve à nouveau que les millions n'achètent pas tout et que le ridicule ne tue toujours pas sur la planète Nouvelle Economie.

Mise à jour du 10 septembre 2000 :

Nous tenons à apporter quelques précisions sur cette affaire, qui a connu un certain retentissement (même si les dirigeants du Lyonnais ont cherché à minimiser l'importance de nos découvertes) :

Oui, le site e.creditlyonnais.fr a laissé un accès total à tous ses répertoires pendant de nombreux jours. Ces répertoires contenaient des fichiers qui servaient à effectuer des tests en vue de la mise en ligne prochaine du site définitif (annoncée pour mi-septembre).

Non, il ne s'agit pas d'une affaire d'Etat ... ils n'avaient pas mis en ligne des informations dites sensibles (n° de cartes de crédit, informations sur les clients, ...), ce qui paraît logique car ils n'avaient pas encore ouvert et n'avaient donc pas encore de clients !

Mais, une fois le site officiel mis en ligne, aurait-on pu aussi lister le contenu des répertoires ? (si c'est le cas, les dirigeants de la banque nous doivent une fière chandelle pour avoir mis le doigt sur ce problème !)

Oui, les concepteurs du site ont été à peu près rapides à résoudre le problème. Nous avons envoyé un mail au webmaster du site le 06 septembre au petit matin ... les problèmes ont été définitvement résolus le 08 septembre dans l'après-midi, soit près de trois journées après.

Non, ce type d'affaire ne fait pas très sérieux pour une banque qui se targue d'avoir investi plusieurs dizaines millions de francs dans la conception de ce site.

Non, les concepteurs du site n'ont pas daigné répondre à notre mail ... ni remerciement, ni insulte.

Une dernière chose : ces messieurs du Lyonnais pourraient être tentés de démentir cette affaire et de nous traiter d'affabulateurs, maintenant qu'ils ont réparé les problèmes dont nous avons parlé.

Voici donc deux nouveaux screenshots (captures d'écran) pour la postérité :


Le répertoire racine à l'époque où il était accessible par tout internaute ayant quelques bases d'informatique.		La page /test/test.htm (quel manque cruel d'imagination) ... laissée à la portée de tous les internautes, et même des concurrents !

Mise à jour du 27 septembre 2000 :

On pensait en avoir fini avec nos "amis" du Lyonnais et leurs sites à plusieurs millions qui "montraient tout" ... c'était sans compter sur l'incapacité de leurs informaticiens. Ainsi, Kitetoa vient de trouver un problème similaire sur un autre site de la banque, qui permet de lister le contenu de tout répertoire.

Comme il n'y aurait aucun intérêt à paraphraser ce qui est déjà très bien expliqué sur leur site, nous vous y renvoyons (cliquez donc ici pour lire leur article).

On n'a pas résisté à vous offrir les deux petites "images" suivantes :)


Mais, je comprends pas Monsieur l'administrateur, j'ai pourtant mis un fichier index.html dans le répertoire ! Mais, comment font-ils à la fin ?		Un fichier nommé rienavoir.html ? arff ... ils ont le sens de l'humour au moins au Lyonnais :)) Tiens, ils ont aussi un fichier test.html ... décidément !

Il faudra que quelqu'un leur explique que la sécurité, ça peut avoir son importance ... surtout lorsque l'on propose un certain nombre de services bancaires en ligne.