Ces informations ne sont pas destinées à être partagées à des pirates mais bien de faire prendre conscience de la nécessité d'une politique globale en faveur d'une sécurité transparente. Je ne serais pas responsable de toutes mauvaises utilisations de ces informations dans le cas où l'entreprise n'a pas pris au sérieux mon alerte.


J'ai découvert 4 failles de type SQL absolument distinctes et certaines bien plus critiques que d'autres :

  • URL : https://savcyber.bpaca.banquepopulaire.fr/wp-admin/admin-ajax.php
  • Paramètre : id
  • Type : POST
  • DBMS : MySQL
  • Hôte : cheerleader.pluzix.fr
  • Utilisateur : BPACA_SAVCYBER@localhost
  • Nom de la BDD : BPACA_SAVCYBER
  • Admin : Non

Pour celle ci-dessus, je n'ai pas testé s'il s'agissait d'une vulnérabilité propre à la structure du site ou liée à Wordpress.

  • URL : http://www.innovetplus.banquepopulaire.fr/index.php
  • Paramètre : id_dossier
  • Type : POST
  • DBMS : MySQL
  • Hôte : bpadveris2-pre.nfrance.com
  • Utilisateur : innovetplus@localhost
  • Nom de la BDD : innovetplus
  • Admin : Non

  • URL : http://www.e-bpvf.fr/mailing/redirection.php
  • Paramètre : de
  • Type : GET
  • DBMS : MySQL
  • OS : Debian 7
  • Hôte : mysql55-135.pro.ha.ovh.net
  • Utilisateur : ebpvfenq@%
  • Nom de la BDD : ebpvfenq
  • Admin : Non

  • URL : http://videovoile.banquepopulaire.fr/directPlayer.php
  • Paramètre : ids
  • Type : GET
  • DBMS : MySQL
  • Hôte : bpce-voile1.nfrance.com
  • Utilisateur : woody@localhost
  • Nom de la BDD : woody
  • Admin : Non

A cela, il faut ajouter une FPD sur videovoile.banquepopulaire.fr : Notice: Use of undefined constant copyright - assumed 'copyright' in /home/users/woody/html/directPlayer.php on line 38 Notice: Use of undefined constant copyright - assumed 'copyright' in /home/users/woody/html/directPlayer.php on line 38

Cette FPD associée à la SQL Stacked permet d'uploader un shell PHP sur le serveur donc c'est doublement problématique.

A tout cela, j'ajouterai enfin des fichiers de configuration qui peuvent aider un pirate à cartographier le site :

  • http://www.bibliothequedelareussite.banquepopulaire.fr/
  • https://e-conference.banquepopulaire.fr/orion/login
  • http://evenements.bpaca.banquepopulaire.fr/
  • http://portail-trade.qua.bp.banquepopulaire.fr/
  • http://cooperative.bpgo.banquepopulaire.fr/wp-json/oembed/1.0/embed?url=http://cooperative.bpgo.banquepopulaire.fr/&format=json
  • http://cooperative.bpgo.banquepopulaire.fr/wp-json/wp/v2/users/

Il y a aussi ce Wordpress qui n'est pas à jour et avec de multiples exploits : http://www.cockpit.banquepopulaire.fr/

Et pour le fun, un glitch : https://www.banquepopulaire.fr/portailinternet/_catalogs/masterpage/None/portailinternet

Comme vous le voyez aussi, il manque aussi un paquet de certificats SSL.

Morale : Être une banque ne veut pas dire s'épargner de la veille sur le code et des pentests en white/blackbox tous les X jours.


Juste pour la forme, je ne suis responsable d'aucune utilisation mal intentionnée de ces informations.

Article Suivant Article Précédent