le site Internet de la BIAC Piraté : Plusieurs failles mis en exergue

L’univers Informatique congolais ne présageait rien de bon depuis quelques mois. Nous avions déjà constaté les conséquences et les répercussions qu’ont eu le spamming virale du 27 janvier qui avait eu à paralyser le Réseau d’Inter-Connect.
Loin de constituer un acte isolé, le coût du sort vient de frapper à nouveau. La cible : la BIAC et son site Internet à Accès sécurisé. Des failles importantes de sécurité au niveau du serveur web de la banque donnait des informations sensibles sur les noms des comptes des clients de la Banque ainsi que leurs mots de passe d’accès pourtant supposés invisibles et inaccessibles aux non abonnés.
La BIAC pourra au moins se rassurer de ne pas être la seule Banque à avoir eu affaire à ce genre de problème. D’autres Banques reputés « sérieuses » comme le Crédit Lyonnais français ou encore ZeBank ont eu à souffrir des conséquences de pareilles vulnérabilités. Après enquête et vérifications, le CRT a effectivement accéder au répertoire racine du serveur de la Banque. Résultats. Le listage de tout les types de fichiers disponibles sur le serveur ainsi qu’un accès aux sous répertoires pourtant supposés être invisibles. C’est notamment l’un de ses sous répertoires répertoriés identifié au nom de Bank qui constitue le plus grand risque de sécurité, car en son sein sont stockés les informations relatives aux clients, le soldes de leur comptes, des comptes d’identifiants valides et encore plus.
Pour ne pas trop remuer le couteau dans la plaie béante de ce scandale, le CRT n’a pas poussé son investigation plus loin de peur d’enfreindre la loi.
Etant donné que le site du CRT est toujours en construction un petit exposé détaillé de la découverte est disponibble en téléchargement en format Word avec Image à l'appui à l'adresse http://crt.sphosting.com/biacpirate.doc
En allant sur ce lien, vous pourrez découvrir une capture d’écran qui montre à suffisance la facilité avec laquelle le listing du contenu du serveur principal de la Banque a pu se réaliser avec tout les risques que cela comporte en matière de sécurité. Cela nous emmène à nous poser un certains nombres de questions
- La BIAC peut bien se targuer du fait d’avoir innové en donnant un accès en ligne aux comptes de ses clients via Internet, mais visiblement en aval, elle n’a jamais envisagé l’hypothèse lié aux risques de piratage ou de dysfonctionnement majeur du système due à un sabotage. Une erreur de débutant qui risque de leur couter cher.
- Le fait qu’un simple navigateur comme Mozilla ou Netscape suffisent via différentes acrobaties propres aux pirates de fournir d’autres gammes d’informations beaucoup plus variés et elles aussi supposés confidentielles (design, architecture, OS du serveur ,..) n’augurent rien de bon quant à la pérennité de la BIAC sur Internet
Tant que d’autres au Congo à l’exemple de la BIAC et beaucoup d’autres entités présentes sur Internet n’auront pas pris au sérieux leur sécurité lors qu’ils se manifeste sur la Toile, cette histoire ne semble pas être la dernière du genre. Qui vivra verra
KALONJI BILOLO Trésor Dieudonné
Assistant à la Recherche en Informatique et TIC
tresorkalonji@yahoo.fr
en Collaboration avec le CRT

Téléchargez le compte rendu du CRT en cliquant sur le lien ci dessous