FORUMAMONTRES
AccueilAccueil  PortailPortail  RechercherRechercher  Dernières imagesDernières images  S'enregistrerS'enregistrer  Connexion  
| |
 

 Actu : La marque de montres de luxe Omega souffre d'un problème ...

Aller en bas 
+2
rogan
ZEN
6 participants
AuteurMessage
ZEN
Rang: Administrateur
ZEN


Nombre de messages : 57505
Date d'inscription : 05/05/2005

Actu : La marque de montres de luxe Omega souffre d'un problème ... Empty
MessageSujet: Actu : La marque de montres de luxe Omega souffre d'un problème ...   Actu : La marque de montres de luxe Omega souffre d'un problème ... Empty21/4/2013, 21:26

Citation :
La marque de montres de luxe Omega souffre d'un problème aux potentialités malveillantes pour les internautes. A ce demander, dès fois, si les concepteurs de site Internet ont déjà entendu parler des Cross-sites Scripting, plus connus sous l'abréviation XSS. Pour rappel, c'est l'une des failles web les plus usitées du moment. L'Owasp classe le XSS comme étant la 3ème faille la plus dangereuse de la toile, derriére l'iSQL (1ere) et le Broken Authentication and Session Management (2ème).

L'idée de cette vulnérabilité, zataz.com vous le rappelle souvent, provoquer un enchainement d'actions malveillantes à partir d'un site officiel. En gros, soit par courrier électronique (XSS non-permanent comme pour gMail, ndlr zataz.com) ou directement stocké sur le site incriminé par la faille (XSS permanent, ndlr zataz.com), le pirate peut orchestrer différents types de piratages.

Vous vous demandez comment, par exemple, un pirate a pu voler la session de votre compte de courrier électronique, votre accès web ? Tout "simplement" via un vol du cookies. Le XSS permet l’interception de ce document caché au fin fond de votre ordinateur. Le pirate peut aussi afficher de fausses informations à l’écran (voir notre capture écran qui affiche zatazweb.tv), mettre en place une page de type hameçonnage de données ou, plus vicieux encore, installer un code malveillant (logiciel espion, keylogger) dans l'ordinateur de l'espace visité. Il est aussi possible, dans certains cas, d'accéder à la base de données et à ses petits secrets (mails, mots de passe, messages privés). Bref, comme le précise un expert du genre dans notre émission tv d'avril sur zatazweb.tv, le Cross-Site Scripting n'est pas à prendre à la légère.

Notre cas du jour, vise une marque de luxe Suisse. Le protocole d'alerte de ZATAZ a été déclenché, voilà plus d'un mois, pour l'un des sites Internet de la marque de montre de luxe Omega. La "toquante" de James Bond. N'ayant pas de contact direct avec 007, nous avons tenté de joindre la société qui semble être aussi muette que le Mi6. En attendant une hypothétique correction, zataz.com vous déconseille fortement de cliquer sur le moindre lien renvoyant vers le portail d'Omega. Préférez taper directement, dans votre navigateur, l'url concerné.

Une correction ?
Il existe moult méthodes pour éviter un XSS. Nous vous passerons l'utilisation d'un firewall (pare-feu) qui permet de filtrer les informations envoyées au serveur/site. Un contrôle du flux de données rentrantes/sortantes loin d'être négligeable. Le coût est l'un des freins de son utilisation. Parmi les solutions, mettre son nez dans le code source de son "précieux". D'abord, protéger les variables (form et/ou url et/ou cgi et/ou cookies). Pour cela, il faut définir "scriptProtect" du tag . Comme le rappel Wikipedia : "Filtrer les variables affichées ou enregistrées avec des caractères '<' et '>' (en CGI comme en PHP). De façon plus générale, donner des noms préfixés par exemple par "us" (user string) aux variables contenant des chaînes venant de l'extérieur pour les distinguer des autres, et ne jamais utiliser aucune des valeurs correspondantes dans une chaîne exécutable (en particulier une chaine SQL, qui peut aussi être ciblée par une injection SQL d'autant plus dangereuse) sans filtrage préalable". Dernier point, non négligeable, faites appels à des personnes compétentes à qui vous laisserez du temps pour auditer sérieusement code source et espaces numériques exploités.

http://www.zataz.com/news/22808/xss--correction--protection--cross-site-scriptin.html

_________________
Contraria contrariis curantur. (Les contraires se guérissent par les contraires).
Revenir en haut Aller en bas
https://sites.google.com/site/hourconquest/
ZEN
Rang: Administrateur
ZEN


Nombre de messages : 57505
Date d'inscription : 05/05/2005

Actu : La marque de montres de luxe Omega souffre d'un problème ... Empty
MessageSujet: Re: Actu : La marque de montres de luxe Omega souffre d'un problème ...   Actu : La marque de montres de luxe Omega souffre d'un problème ... Empty21/4/2013, 21:26

Info ou intox ? Si quelqu'un peut décoder ...

_________________
Contraria contrariis curantur. (Les contraires se guérissent par les contraires).
Revenir en haut Aller en bas
https://sites.google.com/site/hourconquest/
rogan
Animateur Chevronné
rogan


Nombre de messages : 1347
Age : 43
Localisation : Marseille
Date d'inscription : 01/03/2012

Actu : La marque de montres de luxe Omega souffre d'un problème ... Empty
MessageSujet: Re: Actu : La marque de montres de luxe Omega souffre d'un problème ...   Actu : La marque de montres de luxe Omega souffre d'un problème ... Empty21/4/2013, 21:35

je crois avoir vu quelqu'un en parler sur le sous forum omega il y a un ou deux jours. Je sais que ce type de faille existe par contre je ne connais ni la.legitimité de votre source (mais j'ai tres peu de connaissance dans le domaine) ni ne sais si le site est bien infecté.
Revenir en haut Aller en bas
laphroaig007
Membre éminent.
laphroaig007


Nombre de messages : 22688
Localisation : Côte d'Azur, France
Date d'inscription : 14/12/2009

Actu : La marque de montres de luxe Omega souffre d'un problème ... Empty
MessageSujet: Re: Actu : La marque de montres de luxe Omega souffre d'un problème ...   Actu : La marque de montres de luxe Omega souffre d'un problème ... Empty21/4/2013, 21:37

Il faut donc comprendre que le site d'Omega a été développé en utilisant un protocole XSS qui permets à un pirate de pirater des éventuelles informations de tous ceux qui visitent le site.

Y'a bien des informaticiens parmi les FAMeurs ?
Incompréhensible
Revenir en haut Aller en bas
https://forumamontres.forumactif.com/t85151-revue-de-ma-collectio
Chon
Animateur
Chon


Nombre de messages : 1236
Age : 38
Localisation : Bretagne
Date d'inscription : 28/05/2012

Actu : La marque de montres de luxe Omega souffre d'un problème ... Empty
MessageSujet: Re: Actu : La marque de montres de luxe Omega souffre d'un problème ...   Actu : La marque de montres de luxe Omega souffre d'un problème ... Empty21/4/2013, 21:40

J'ai posté à ce sujet sur le forum Omega pour prévenir d'un éventuel risque. On ne sait pas si la faille a été exploitée. Il faut donc rester vigilent au sujet des liens qui renvoient vers le site Omega. Pour visiter le site, il est conseillé de taper directement l'URL dans la barre du navigateur, la faille XSS n'étant exploitée que lors d'un clic sur un lien forgé spécialement Wink

Edit : ce qu'on appelle le XSS ou cross-site scripting, c'est un type de faille très large disons. Il en existe des formes très différentes, qui permettent différentes actions à quelqu'un de mal intentionné. Il est très difficile de savoir les possibilités qu'offre une telle vulnérabilité, mais ça peut être très dangereux. Encore une fois, je pense que la visite du site n'est pas dangereuse en elle-même mais il est déconseillé de cliquer sur un lien vers le site.


Dernière édition par Chon le 21/4/2013, 21:44, édité 2 fois
Revenir en haut Aller en bas
http://www.photo-jm.com
Pierre-Yves
Modérateur
Pierre-Yves


Nombre de messages : 16150
Localisation : Bretagne
Date d'inscription : 08/05/2005

Actu : La marque de montres de luxe Omega souffre d'un problème ... Empty
MessageSujet: Re: Actu : La marque de montres de luxe Omega souffre d'un problème ...   Actu : La marque de montres de luxe Omega souffre d'un problème ... Empty21/4/2013, 21:41

rogan a écrit:
je crois avoir vu quelqu'un en parler sur le sous forum omega il y a un ou deux jours. Je sais que ce type de faille existe par contre je ne connais ni la.legitimité de votre source (mais j'ai tres peu de connaissance dans le domaine) ni ne sais si le site est bien infecté.
oui, Chon en avait parlé ici
Revenir en haut Aller en bas
En ligne
Chon
Animateur
Chon


Nombre de messages : 1236
Age : 38
Localisation : Bretagne
Date d'inscription : 28/05/2012

Actu : La marque de montres de luxe Omega souffre d'un problème ... Empty
MessageSujet: Re: Actu : La marque de montres de luxe Omega souffre d'un problème ...   Actu : La marque de montres de luxe Omega souffre d'un problème ... Empty21/4/2013, 21:47

Concernant la source, elle est fiable Wink
Revenir en haut Aller en bas
http://www.photo-jm.com
Invité
Invité




Actu : La marque de montres de luxe Omega souffre d'un problème ... Empty
MessageSujet: Re: Actu : La marque de montres de luxe Omega souffre d'un problème ...   Actu : La marque de montres de luxe Omega souffre d'un problème ... Empty21/4/2013, 21:54

quid 2 Il le dit lui-même très bien:
"Il existe moult méthodes pour éviter un XSS. Nous vous passerons l'utilisation d'un firewall (pare-feu)."


Dans la plupart des cas, en effet, un simple pare-feu (normalement fourni avec le système d'exploitation) sufiit, (dès lors qu'il est activé, bien entendu.)
Depuis quinze ans, je surfe sur le Net, muni de mon pare-feu de base (sous OSX Mac), sans craindre (ni subir) quoi que ce soit. Chinois

Revenir en haut Aller en bas
Aiolia
Pilier du forum
Aiolia


Nombre de messages : 1619
Age : 43
Localisation : Gévaudan
Date d'inscription : 07/06/2012

Actu : La marque de montres de luxe Omega souffre d'un problème ... Empty
MessageSujet: Re: Actu : La marque de montres de luxe Omega souffre d'un problème ...   Actu : La marque de montres de luxe Omega souffre d'un problème ... Empty21/4/2013, 21:56


ca fait mal au crane tout ça pale

Et si on tape omega sur gougoule, et qu'on clique sur le lien du site officiel, y'a danger quid 2
Revenir en haut Aller en bas
Chon
Animateur
Chon


Nombre de messages : 1236
Age : 38
Localisation : Bretagne
Date d'inscription : 28/05/2012

Actu : La marque de montres de luxe Omega souffre d'un problème ... Empty
MessageSujet: Re: Actu : La marque de montres de luxe Omega souffre d'un problème ...   Actu : La marque de montres de luxe Omega souffre d'un problème ... Empty21/4/2013, 22:01

Il parle de firewall côté serveur, du côté de l'utilisateur je crois bien que c'est d'aucune utilité dans ce cas.
En passant par le lien de google, il n'y a pas de risque, ça m'étonnerait que les résultats du moteur de recherche soient corrompus Wink

Edit : visiblement c'est corrigé Wink
Revenir en haut Aller en bas
http://www.photo-jm.com
 
Actu : La marque de montres de luxe Omega souffre d'un problème ...
Revenir en haut 
Page 1 sur 1
 Sujets similaires
-
» Actu : Luxe: Louis Vuitton est la marque qui vaut le plus au monde
» Actu : Le Qatar prépare le lancement d'une marque de luxe : Qela
» Actu : Vol de montres de luxe
» Actu: Les montres de luxe ciblées
» Actu: Montres : le luxe affiché

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
FORUMAMONTRES :: Forum général de discussions horlogères-
Sauter vers: