La marque de montres de luxe Omega souffre d'un problème aux potentialités malveillantes pour les internautes. A ce demander, dès fois, si les concepteurs de site Internet ont déjà entendu parler des Cross-sites Scripting, plus connus sous l'abréviation XSS. Pour rappel, c'est l'une des failles web les plus usitées du moment. L'Owasp classe le XSS comme étant la 3ème faille la plus dangereuse de la toile, derriére l'iSQL (1ere) et le Broken Authentication and Session Management (2ème).
L'idée de cette vulnérabilité, zataz.com vous le rappelle souvent, provoquer un enchainement d'actions malveillantes à partir d'un site officiel. En gros, soit par courrier électronique (XSS non-permanent comme pour gMail, ndlr zataz.com) ou directement stocké sur le site incriminé par la faille (XSS permanent, ndlr zataz.com), le pirate peut orchestrer différents types de piratages.
Vous vous demandez comment, par exemple, un pirate a pu voler la session de votre compte de courrier électronique, votre accès web ? Tout "simplement" via un vol du cookies. Le XSS permet l’interception de ce document caché au fin fond de votre ordinateur. Le pirate peut aussi afficher de fausses informations à l’écran (voir notre capture écran qui affiche zatazweb.tv), mettre en place une page de type hameçonnage de données ou, plus vicieux encore, installer un code malveillant (logiciel espion, keylogger) dans l'ordinateur de l'espace visité. Il est aussi possible, dans certains cas, d'accéder à la base de données et à ses petits secrets (mails, mots de passe, messages privés). Bref, comme le précise un expert du genre dans notre émission tv d'avril sur zatazweb.tv, le Cross-Site Scripting n'est pas à prendre à la légère.
Notre cas du jour, vise une marque de luxe Suisse. Le protocole d'alerte de ZATAZ a été déclenché, voilà plus d'un mois, pour l'un des sites Internet de la marque de montre de luxe Omega. La "toquante" de James Bond. N'ayant pas de contact direct avec 007, nous avons tenté de joindre la société qui semble être aussi muette que le Mi6. En attendant une hypothétique correction, zataz.com vous déconseille fortement de cliquer sur le moindre lien renvoyant vers le portail d'Omega. Préférez taper directement, dans votre navigateur, l'url concerné.
No comments:
Post a Comment