D’anciens noms de domaine de services de police, de CPAS et même de tribunaux sont accessibles. Le hacker éthique Inti De Ceukelaire montre comment il a ainsi obtenu des informations sensibles sans trop de difficultés.
De Ceukelaire a acheté 107 noms de domaine encore actifs dans un passé récent. Il s’agit entre autres de communes et de CPAS qui ont entre-temps fusionné, ce qui a également entraîné une modification de leurs noms de domaine. Les TCA, CLB et 32 zones de police locale (qui relèvent du domaine police.belgium.eu depuis 2018) ainsi que trois tribunaux locaux disposaient ainsi également d’un nom de domaine qui n’a pas été renouvelé et était désormais mis en vente.
Toute personne possédant un tel domaine peut également créer des adresses e-mail. De Ceukelaire a ainsi activé 848 adresses accessibles publiquement.
Assez étonnamment, une fois réactivées, ces adresses semblaient encore et toujours recevoir des courriels. En une semaine, De Ceukelaire a en effet reçu des courriels de 80 comptes Dropbox, 142 comptes Google Drive, 57 comptes Microsoft (Onedrive, Sharepoint, etc.) et de quelques comptes Smartschool et Doccle.
De Ceukelaire prévient qu’à partir de là, il lui a été possible de réinitialiser un mot de passe via la fonction ‘mot de passe oublié’. N’importe qui peut de cette façon toujours accéder à un compte, puisqu’il est lié à l’adresse e-mail à laquelle le pirate éthique a eu accès.
Anciennes adresses encore et toujours utilisées
La situation susmentionnée s’applique principalement aux mails automatiques. Mais même sans cela, il ne lui a pas été difficile d’obtenir des informations sensibles.
Le hacker éthique a rapidement reçu aux adresses qu’il gérait des rappels concernant des personnes en médiation de dettes, mais aussi des messages relatifs à la surveillance électronique de condamnés, ainsi que des factures d’une pharmacie envoyées à un service social. Cela incluait également des invitations à des réunions, des questions de ou sur des personnes vulnérables, et des réclamations d’assurance envoyées à une (ancienne) adresse de police.
De Ceukelaire n’a volontairement rien fait avec ces messages, mais il indique que c’est inquiétant au cas où un criminel en tirerait parti et se ferait passer pour un service, ou tenterait d’approcher des personnes vulnérables sur la base d’informations sensibles. Après une telle expérience, le pirate éthique a bloqué les mails entrants pour les domaines en question et a informé le CCB de ses trouvailles. Ce dernier a alors informé les anciens propriétaires des risques liés aux domaines échus.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici