ZEN Rang: Administrateur
Nombre de messages : 57505 Date d'inscription : 05/05/2005
| Sujet: Actu : La marque de montres de luxe Omega souffre d'un problème ... Dim 21 Avr 2013 - 21:26 | |
| - Citation :
- La marque de montres de luxe Omega souffre d'un problème aux potentialités malveillantes pour les internautes. A ce demander, dès fois, si les concepteurs de site Internet ont déjà entendu parler des Cross-sites Scripting, plus connus sous l'abréviation XSS. Pour rappel, c'est l'une des failles web les plus usitées du moment. L'Owasp classe le XSS comme étant la 3ème faille la plus dangereuse de la toile, derriére l'iSQL (1ere) et le Broken Authentication and Session Management (2ème).
L'idée de cette vulnérabilité, zataz.com vous le rappelle souvent, provoquer un enchainement d'actions malveillantes à partir d'un site officiel. En gros, soit par courrier électronique (XSS non-permanent comme pour gMail, ndlr zataz.com) ou directement stocké sur le site incriminé par la faille (XSS permanent, ndlr zataz.com), le pirate peut orchestrer différents types de piratages.
Vous vous demandez comment, par exemple, un pirate a pu voler la session de votre compte de courrier électronique, votre accès web ? Tout "simplement" via un vol du cookies. Le XSS permet l’interception de ce document caché au fin fond de votre ordinateur. Le pirate peut aussi afficher de fausses informations à l’écran (voir notre capture écran qui affiche zatazweb.tv), mettre en place une page de type hameçonnage de données ou, plus vicieux encore, installer un code malveillant (logiciel espion, keylogger) dans l'ordinateur de l'espace visité. Il est aussi possible, dans certains cas, d'accéder à la base de données et à ses petits secrets (mails, mots de passe, messages privés). Bref, comme le précise un expert du genre dans notre émission tv d'avril sur zatazweb.tv, le Cross-Site Scripting n'est pas à prendre à la légère.
Notre cas du jour, vise une marque de luxe Suisse. Le protocole d'alerte de ZATAZ a été déclenché, voilà plus d'un mois, pour l'un des sites Internet de la marque de montre de luxe Omega. La "toquante" de James Bond. N'ayant pas de contact direct avec 007, nous avons tenté de joindre la société qui semble être aussi muette que le Mi6. En attendant une hypothétique correction, zataz.com vous déconseille fortement de cliquer sur le moindre lien renvoyant vers le portail d'Omega. Préférez taper directement, dans votre navigateur, l'url concerné.
Une correction ? Il existe moult méthodes pour éviter un XSS. Nous vous passerons l'utilisation d'un firewall (pare-feu) qui permet de filtrer les informations envoyées au serveur/site. Un contrôle du flux de données rentrantes/sortantes loin d'être négligeable. Le coût est l'un des freins de son utilisation. Parmi les solutions, mettre son nez dans le code source de son "précieux". D'abord, protéger les variables (form et/ou url et/ou cgi et/ou cookies). Pour cela, il faut définir "scriptProtect" du tag . Comme le rappel Wikipedia : "Filtrer les variables affichées ou enregistrées avec des caractères '<' et '>' (en CGI comme en PHP). De façon plus générale, donner des noms préfixés par exemple par "us" (user string) aux variables contenant des chaînes venant de l'extérieur pour les distinguer des autres, et ne jamais utiliser aucune des valeurs correspondantes dans une chaîne exécutable (en particulier une chaine SQL, qui peut aussi être ciblée par une injection SQL d'autant plus dangereuse) sans filtrage préalable". Dernier point, non négligeable, faites appels à des personnes compétentes à qui vous laisserez du temps pour auditer sérieusement code source et espaces numériques exploités. http://www.zataz.com/news/22808/xss--correction--protection--cross-site-scriptin.html _________________ Contraria contrariis curantur. (Les contraires se guérissent par les contraires).
|
|
ZEN Rang: Administrateur
Nombre de messages : 57505 Date d'inscription : 05/05/2005
| Sujet: Re: Actu : La marque de montres de luxe Omega souffre d'un problème ... Dim 21 Avr 2013 - 21:26 | |
| Info ou intox ? Si quelqu'un peut décoder ...
_________________ Contraria contrariis curantur. (Les contraires se guérissent par les contraires).
|
|
rogan Animateur Chevronné
Nombre de messages : 1347 Age : 43 Localisation : Marseille Date d'inscription : 01/03/2012
| Sujet: Re: Actu : La marque de montres de luxe Omega souffre d'un problème ... Dim 21 Avr 2013 - 21:35 | |
| je crois avoir vu quelqu'un en parler sur le sous forum omega il y a un ou deux jours. Je sais que ce type de faille existe par contre je ne connais ni la.legitimité de votre source (mais j'ai tres peu de connaissance dans le domaine) ni ne sais si le site est bien infecté. |
|
laphroaig007 Membre éminent.
Nombre de messages : 22688 Localisation : Côte d'Azur, France Date d'inscription : 14/12/2009
| Sujet: Re: Actu : La marque de montres de luxe Omega souffre d'un problème ... Dim 21 Avr 2013 - 21:37 | |
| Il faut donc comprendre que le site d'Omega a été développé en utilisant un protocole XSS qui permets à un pirate de pirater des éventuelles informations de tous ceux qui visitent le site. Y'a bien des informaticiens parmi les F AMeurs ? |
|
Chon Animateur
Nombre de messages : 1236 Age : 38 Localisation : Bretagne Date d'inscription : 28/05/2012
| Sujet: Re: Actu : La marque de montres de luxe Omega souffre d'un problème ... Dim 21 Avr 2013 - 21:40 | |
| J'ai posté à ce sujet sur le forum Omega pour prévenir d'un éventuel risque. On ne sait pas si la faille a été exploitée. Il faut donc rester vigilent au sujet des liens qui renvoient vers le site Omega. Pour visiter le site, il est conseillé de taper directement l'URL dans la barre du navigateur, la faille XSS n'étant exploitée que lors d'un clic sur un lien forgé spécialement Edit : ce qu'on appelle le XSS ou cross-site scripting, c'est un type de faille très large disons. Il en existe des formes très différentes, qui permettent différentes actions à quelqu'un de mal intentionné. Il est très difficile de savoir les possibilités qu'offre une telle vulnérabilité, mais ça peut être très dangereux. Encore une fois, je pense que la visite du site n'est pas dangereuse en elle-même mais il est déconseillé de cliquer sur un lien vers le site.
Dernière édition par Chon le Dim 21 Avr 2013 - 21:44, édité 2 fois |
|
Pierre-Yves Modérateur
Nombre de messages : 16172 Localisation : Bretagne Date d'inscription : 08/05/2005
| Sujet: Re: Actu : La marque de montres de luxe Omega souffre d'un problème ... Dim 21 Avr 2013 - 21:41 | |
| - rogan a écrit:
- je crois avoir vu quelqu'un en parler sur le sous forum omega il y a un ou deux jours. Je sais que ce type de faille existe par contre je ne connais ni la.legitimité de votre source (mais j'ai tres peu de connaissance dans le domaine) ni ne sais si le site est bien infecté.
oui, Chon en avait parlé ici |
|
Chon Animateur
Nombre de messages : 1236 Age : 38 Localisation : Bretagne Date d'inscription : 28/05/2012
| Sujet: Re: Actu : La marque de montres de luxe Omega souffre d'un problème ... Dim 21 Avr 2013 - 21:47 | |
| Concernant la source, elle est fiable |
|
Invité Invité
| Sujet: Re: Actu : La marque de montres de luxe Omega souffre d'un problème ... Dim 21 Avr 2013 - 21:54 | |
| Il le dit lui-même très bien: "Il existe moult méthodes pour éviter un XSS. Nous vous passerons l'utilisation d'un firewall (pare-feu)." Dans la plupart des cas, en effet, un simple pare-feu (normalement fourni avec le système d'exploitation) sufiit, (dès lors qu'il est activé, bien entendu.) Depuis quinze ans, je surfe sur le Net, muni de mon pare-feu de base (sous OSX Mac), sans craindre (ni subir) quoi que ce soit. |
|
Aiolia Pilier du forum
Nombre de messages : 1619 Age : 43 Localisation : Gévaudan Date d'inscription : 07/06/2012
| Sujet: Re: Actu : La marque de montres de luxe Omega souffre d'un problème ... Dim 21 Avr 2013 - 21:56 | |
| ca fait mal au crane tout ça Et si on tape omega sur gougoule, et qu'on clique sur le lien du site officiel, y'a danger |
|
Chon Animateur
Nombre de messages : 1236 Age : 38 Localisation : Bretagne Date d'inscription : 28/05/2012
| Sujet: Re: Actu : La marque de montres de luxe Omega souffre d'un problème ... Dim 21 Avr 2013 - 22:01 | |
| Il parle de firewall côté serveur, du côté de l'utilisateur je crois bien que c'est d'aucune utilité dans ce cas. En passant par le lien de google, il n'y a pas de risque, ça m'étonnerait que les résultats du moteur de recherche soient corrompus Edit : visiblement c'est corrigé |
|