Quand on opère un site web, la gestion des accès est primordiale. Malheureusement, cet aspect n’est pas toujours bien maîtrisé. Ce fut le cas, récemment, du site de Lutte Ouvrière qui donnait accès à tout un tas de données internes en raison d’un mauvais paramétrage. L’équipe web du parti trotskiste dispose en effet d’un intranet qui lui permet, entre autres, de gérer les commentaires, de travailler sur de nouvelles fonctions et de partager du code. Que ce soit pour faire évoluer le site « lutte-ouvriere.org » ou le blog « nathalie-arthaud.info », qui tournent tous les deux sous le système de gestion de contenu Django.
Le problème, c’est que cet intranet était mal configuré. Basé sur l’outil collaboratif GitLab, il permettait d’accéder librement aux différentes rubriques. On pouvait ainsi récupérer le code source du site ou accéder à des projets de développement comme la gestion interne des abonnements papier au journal de Lutte Ouvrière. On pouvait même récupérer des identifiants. Dans l’un des fichiers de code, on pouvait ainsi glaner email et mot de passe d’un gestionnaire du site. Des informations qu’un pirate aurait pu exploiter sans aucune difficulté.
Contactée par nos soins, l’équipe web de Lutte Ouvrière a fait corriger la fuite en quelques secondes.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
