Vote en ligne : l'élection du président de l'UMP perturbée par une attaque DDOS

Le par  |  8 commentaire(s) Source : France Info
UMP logo

L'élection du nouveau président de l'UMP ne s'est pas réalisée avec facilité. Face à une attaque en ligne ayant largement perturbé les votes, le parti a annoncé avoir déposé une plainte.

La Haute autorité de l'Union a ainsi constaté dès vendredi soir " une attaque extérieure" qui visait le scrutin électronique qu'elle surveillait pour le compte de l'UMP, indiquant " Il s'agit de l'un des risques anticipés et les dispositions prévues ont été mises en oeuvre."

Ddos L'attaque en question, de type déni de service (DDOS) a ainsi occasionné des ralentissements de l'accès au site de vote et parfois des retours d'erreurs aux usagers lors de pics. Néanmoins, jamais le site presidentump2014.fr n'aura véritablement flanché.

Luc Chatel s'exprimait dès samedi au micro de France Info pour confirmer l'attaque : " Le site internet de l'UMP a été victime d'attaques depuis plusieurs jours comme si ceux qui nous veulent du mal nous testaient. Cela a un peu ralenti le vote mais les choses ont repris. " " Il y a eu plusieurs tentatives de piratage qui sont manifestement organisées. Ce n'est pas de l'amateurisme, c'est du lourd ! "

"Cela nous a amenés à déposer plainte cette nuit auprès du commissariat du XVe arrondissement. Et les services de police en charge des cyberattaques enquêtent déjà." " Il y a des choses très farfelues sur les réseaux sociaux, qu'on regarde évidemment de très près. Des gens qui nous expliquent qu'ils auraient réussi à rentrer dans le système, ce qui est totalement faux. C'est triste à dire, c'est un peu un jeu des hackers qui veulent tester le système de l'UMP, le déstabiliser."

Finalement, les attaques n'auront pas empêché l'UMP le vote de se dérouler, et c'est ainsi Nicolas Sarkozy qui a été élu président du parti avec 64,5% des voix.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1820214
Cherchez à qui profite le crime et vous aurez une idée des auteurs....!
Le #1820217
La France a jeté ce personnage à la porte ... et voilà qu'il revient par la fenêtre !!!
Le #1820225
Ca va se finir par un DDOS au niveau national, toute cette masquarade.
Le #1820232
Alors en fait, si on prend au pied de la lettre leurs déclarations:

"entre 20h15 et 22h, le site aurait été victime d’une attaque par saturation de 26 000 connexions par secondes émanant d’un seul serveur."

D'un seul serveur - ce n'est pas un DDoS, mais un DoS: aucune distribution de l'attaque si elle provient d'un seul serveur (au passage… iptables -I INPUT -s ip.serveur.attaquant -j DROP (ou mieux, TARPIT), c'est quoi ces branles-quenouilles qui leur servent de sysadmin?).

Ensuite, on ne parlera pas des défauts hallucinants de sécurisation du site:

* HeartBleed encore présent - chapeau!
* probablement ShellShock, quelqu'un pour faire un petit curl?
* répertoires du backoffice facilement accessibles avec n'importe quel navigateur (qui est l'andouille qui était en charge de configurer Apache (thx, curl -I)?).

source: http://rue89.nouvelobs.com/2014/11/29/pourquoi-lelection-presidence-lump-est-cyber-fiasco-256306

Enfin bref, avant de hurler contre les "vilains hackers chevronnés (lol) d'Internet qu'il faut civiliser", ils feraient bien de mieux choisir leurs prestataires, voire d'employer les VRAIS sysadmins qu'ils doivent compter dans leurs rangs. Parceque là, non seulement leur communication est foireuse, mais leur infrastructure est complètement à poil, même un stagiaire ne devrait pas faire d'erreurs comme celles-là (notamment heartbleed, et pas d'Options -Indexes dans la conf' apache. On se fait DoS par une seule machine? Et il n'y a personne pour prendre, allez, 20 secondes pour DROP l'ip de cette machine? la vaaaaache!). Donc ils ont dû faire faire leur site par des guignols, et ils viennent pleurer, non pas contre ces guignols, mais contre les vilains pirates d'Internet? La bonne blague.

Venant d'un parti qui veut "civiliser Internet", ça fout juste les jetons de voir autant d'incompétence dans la mise en place de quelque chose de relativement simple, et de les voir s'étonner que, oui, forcément, ça a merdé. J'appelle ça tendre le bâton pour se faire battre, surtout que c'est récurrent chez eux, entre Bygmalion et ses sites troués et maintenant leur prestataire incapable de maintenir un pauvre frontal à jour…

EDIT: et si on regarde leur certif SSL… HMAC: MD5!!!! et chiffrement RC4… mais, mais, on est plus en 1998 là! md5 est attaquable par collision depuis quasiment dix ans, RC4 est dépassé depuis longtemps… alors qu'ils utilisent bien SHA256 au lieu de SHA1 Oo what the fuck! Autant de bourdes enchaînées à la suite (heartbleed, site à poil, certif SSL utilisant des mécanismes dépassés - ils ont même pas fait un mini audit avant de le mettre en ligne ou quoi?). Et bon, au passage, pourquoi prendre un certif' chez Symantec là où ils auraient pu faire travailler une boîte française (Gandi pour ne pas les nommer, par exemple, mais il y en a d'autres) en autorité de certification intermédiaire?
Le #1820235
lidstah a écrit :

Alors en fait, si on prend au pied de la lettre leurs déclarations:

"entre 20h15 et 22h, le site aurait été victime d’une attaque par saturation de 26 000 connexions par secondes émanant d’un seul serveur."

D'un seul serveur - ce n'est pas un DDoS, mais un DoS: aucune distribution de l'attaque si elle provient d'un seul serveur (au passage… iptables -I INPUT -s ip.serveur.attaquant -j DROP (ou mieux, TARPIT), c'est quoi ces branles-quenouilles qui leur servent de sysadmin?).

Ensuite, on ne parlera pas des défauts hallucinants de sécurisation du site:

* HeartBleed encore présent - chapeau!
* probablement ShellShock, quelqu'un pour faire un petit curl?
* répertoires du backoffice facilement accessibles avec n'importe quel navigateur (qui est l'andouille qui était en charge de configurer Apache (thx, curl -I)?).

source: http://rue89.nouvelobs.com/2014/11/29/pourquoi-lelection-presidence-lump-est-cyber-fiasco-256306

Enfin bref, avant de hurler contre les "vilains hackers chevronnés (lol) d'Internet qu'il faut civiliser", ils feraient bien de mieux choisir leurs prestataires, voire d'employer les VRAIS sysadmins qu'ils doivent compter dans leurs rangs. Parceque là, non seulement leur communication est foireuse, mais leur infrastructure est complètement à poil, même un stagiaire ne devrait pas faire d'erreurs comme celles-là (notamment heartbleed, et pas d'Options -Indexes dans la conf' apache. On se fait DoS par une seule machine? Et il n'y a personne pour prendre, allez, 20 secondes pour DROP l'ip de cette machine? la vaaaaache!). Donc ils ont dû faire faire leur site par des guignols, et ils viennent pleurer, non pas contre ces guignols, mais contre les vilains pirates d'Internet? La bonne blague.

Venant d'un parti qui veut "civiliser Internet", ça fout juste les jetons de voir autant d'incompétence dans la mise en place de quelque chose de relativement simple, et de les voir s'étonner que, oui, forcément, ça a merdé. J'appelle ça tendre le bâton pour se faire battre, surtout que c'est récurrent chez eux, entre Bygmalion et ses sites troués et maintenant leur prestataire incapable de maintenir un pauvre frontal à jour…


Houla, mais comment on fait un iptables sous OpenOffice ?
Le #1820236
Padrys a écrit :

lidstah a écrit :

Alors en fait, si on prend au pied de la lettre leurs déclarations:

"entre 20h15 et 22h, le site aurait été victime d’une attaque par saturation de 26 000 connexions par secondes émanant d’un seul serveur."

D'un seul serveur - ce n'est pas un DDoS, mais un DoS: aucune distribution de l'attaque si elle provient d'un seul serveur (au passage… iptables -I INPUT -s ip.serveur.attaquant -j DROP (ou mieux, TARPIT), c'est quoi ces branles-quenouilles qui leur servent de sysadmin?).

Ensuite, on ne parlera pas des défauts hallucinants de sécurisation du site:

* HeartBleed encore présent - chapeau!
* probablement ShellShock, quelqu'un pour faire un petit curl?
* répertoires du backoffice facilement accessibles avec n'importe quel navigateur (qui est l'andouille qui était en charge de configurer Apache (thx, curl -I)?).

source: http://rue89.nouvelobs.com/2014/11/29/pourquoi-lelection-presidence-lump-est-cyber-fiasco-256306

Enfin bref, avant de hurler contre les "vilains hackers chevronnés (lol) d'Internet qu'il faut civiliser", ils feraient bien de mieux choisir leurs prestataires, voire d'employer les VRAIS sysadmins qu'ils doivent compter dans leurs rangs. Parceque là, non seulement leur communication est foireuse, mais leur infrastructure est complètement à poil, même un stagiaire ne devrait pas faire d'erreurs comme celles-là (notamment heartbleed, et pas d'Options -Indexes dans la conf' apache. On se fait DoS par une seule machine? Et il n'y a personne pour prendre, allez, 20 secondes pour DROP l'ip de cette machine? la vaaaaache!). Donc ils ont dû faire faire leur site par des guignols, et ils viennent pleurer, non pas contre ces guignols, mais contre les vilains pirates d'Internet? La bonne blague.

Venant d'un parti qui veut "civiliser Internet", ça fout juste les jetons de voir autant d'incompétence dans la mise en place de quelque chose de relativement simple, et de les voir s'étonner que, oui, forcément, ça a merdé. J'appelle ça tendre le bâton pour se faire battre, surtout que c'est récurrent chez eux, entre Bygmalion et ses sites troués et maintenant leur prestataire incapable de maintenir un pauvre frontal à jour…


Houla, mais comment on fait un iptables sous OpenOffice ?


J'ai ri

Par contre sous Emacs ou Vim (avec un plugin genre ConqueTerm), là tu peux, en ouvrant un shell dans un buffer

Blague à part, c'est vraiment flippant de voir autant d'erreurs accumulées dans la mise en place d'un système de vote électronique… Ils n'ont vraiment personne de qualifié pour faire ça en interne, plutôt que de passer par des prestataires tous plus affligeants les uns que les autres? Rien qu'en voyant la tronche de leur certificat SSL, c'est effrayant! en 2014…

Mais non, c'est plus simple de chougner sur les vilains pirates de l'internet >.<

" Il y a eu plusieurs tentatives de piratage qui sont manifestement organisées. Ce n'est pas de l'amateurisme, c'est du lourd ! "

Je crois que niveau amateurisme, ils feraient bien de balayer devant leur porte.
Le #1820243
DeepBlueOcean a écrit :

La France a jeté ce personnage à la porte ... et voilà qu'il revient par la fenêtre !!!


Tant que ya des cons pour acheter...
Le #1820259
Hahaha,les cons !!!

ils leur a fait payer la casse et ils revotent pour le même.
y'en a y sont maso....

môsieur promets du vote ,quelqu'un pour lui rappeler celui sur lequel il s'est frotté les pieds(nickelés) ?

Je crains le pire pour 2017
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]