Actu : La marque de montres de luxe Omega souffre d'un problème ...

Citation :

La marque de montres de luxe Omega souffre d'un problème aux potentialités malveillantes pour les internautes. A ce demander, dès fois, si les concepteurs de site Internet ont déjà entendu parler des Cross-sites Scripting, plus connus sous l'abréviation XSS. Pour rappel, c'est l'une des failles web les plus usitées du moment. L'Owasp classe le XSS comme étant la 3ème faille la plus dangereuse de la toile, derriére l'iSQL (1ere) et le Broken Authentication and Session Management (2ème).

L'idée de cette vulnérabilité, zataz.com vous le rappelle souvent, provoquer un enchainement d'actions malveillantes à partir d'un site officiel. En gros, soit par courrier électronique (XSS non-permanent comme pour gMail, ndlr zataz.com) ou directement stocké sur le site incriminé par la faille (XSS permanent, ndlr zataz.com), le pirate peut orchestrer différents types de piratages.

Vous vous demandez comment, par exemple, un pirate a pu voler la session de votre compte de courrier électronique, votre accès web ? Tout "simplement" via un vol du cookies. Le XSS permet l’interception de ce document caché au fin fond de votre ordinateur. Le pirate peut aussi afficher de fausses informations à l’écran (voir notre capture écran qui affiche zatazweb.tv), mettre en place une page de type hameçonnage de données ou, plus vicieux encore, installer un code malveillant (logiciel espion, keylogger) dans l'ordinateur de l'espace visité. Il est aussi possible, dans certains cas, d'accéder à la base de données et à ses petits secrets (mails, mots de passe, messages privés). Bref, comme le précise un expert du genre dans notre émission tv d'avril sur zatazweb.tv, le Cross-Site Scripting n'est pas à prendre à la légère.

Notre cas du jour, vise une marque de luxe Suisse. Le protocole d'alerte de ZATAZ a été déclenché, voilà plus d'un mois, pour l'un des sites Internet de la marque de montre de luxe Omega. La "toquante" de James Bond. N'ayant pas de contact direct avec 007, nous avons tenté de joindre la société qui semble être aussi muette que le Mi6. En attendant une hypothétique correction, zataz.com vous déconseille fortement de cliquer sur le moindre lien renvoyant vers le portail d'Omega. Préférez taper directement, dans votre navigateur, l'url concerné.

Une correction ?
Il existe moult méthodes pour éviter un XSS. Nous vous passerons l'utilisation d'un firewall (pare-feu) qui permet de filtrer les informations envoyées au serveur/site. Un contrôle du flux de données rentrantes/sortantes loin d'être négligeable. Le coût est l'un des freins de son utilisation. Parmi les solutions, mettre son nez dans le code source de son "précieux". D'abord, protéger les variables (form et/ou url et/ou cgi et/ou cookies). Pour cela, il faut définir "scriptProtect" du tag . Comme le rappel Wikipedia : "Filtrer les variables affichées ou enregistrées avec des caractères '<' et '>' (en CGI comme en PHP). De façon plus générale, donner des noms préfixés par exemple par "us" (user string) aux variables contenant des chaînes venant de l'extérieur pour les distinguer des autres, et ne jamais utiliser aucune des valeurs correspondantes dans une chaîne exécutable (en particulier une chaine SQL, qui peut aussi être ciblée par une injection SQL d'autant plus dangereuse) sans filtrage préalable". Dernier point, non négligeable, faites appels à des personnes compétentes à qui vous laisserez du temps pour auditer sérieusement code source et espaces numériques exploités.

http://www.zataz.com/news/22808/xss--correction--protection--cross-site-scriptin.html

Info ou intox ? Si quelqu'un peut décoder ...

je crois avoir vu quelqu'un en parler sur le sous forum omega il y a un ou deux jours. Je sais que ce type de faille existe par contre je ne connais ni la.legitimité de votre source (mais j'ai tres peu de connaissance dans le domaine) ni ne sais si le site est bien infecté.

Il faut donc comprendre que le site d'Omega a été développé en utilisant un protocole XSS qui permets à un pirate de pirater des éventuelles informations de tous ceux qui visitent le site.

Y'a bien des informaticiens parmi les FAMeurs ?

J'ai posté à ce sujet sur le forum Omega pour prévenir d'un éventuel risque. On ne sait pas si la faille a été exploitée. Il faut donc rester vigilent au sujet des liens qui renvoient vers le site Omega. Pour visiter le site, il est conseillé de taper directement l'URL dans la barre du navigateur, la faille XSS n'étant exploitée que lors d'un clic sur un lien forgé spécialement

Edit : ce qu'on appelle le XSS ou cross-site scripting, c'est un type de faille très large disons. Il en existe des formes très différentes, qui permettent différentes actions à quelqu'un de mal intentionné. Il est très difficile de savoir les possibilités qu'offre une telle vulnérabilité, mais ça peut être très dangereux. Encore une fois, je pense que la visite du site n'est pas dangereuse en elle-même mais il est déconseillé de cliquer sur un lien vers le site.

rogan a écrit:

je crois avoir vu quelqu'un en parler sur le sous forum omega il y a un ou deux jours. Je sais que ce type de faille existe par contre je ne connais ni la.legitimité de votre source (mais j'ai tres peu de connaissance dans le domaine) ni ne sais si le site est bien infecté.

oui, Chon en avait parlé ici

Concernant la source, elle est fiable

Il le dit lui-même très bien:
"Il existe moult méthodes pour éviter un XSS. Nous vous passerons l'utilisation d'un firewall (pare-feu)."

Dans la plupart des cas, en effet, un simple pare-feu (normalement fourni avec le système d'exploitation) sufiit, (dès lors qu'il est activé, bien entendu.)
Depuis quinze ans, je surfe sur le Net, muni de mon pare-feu de base (sous OSX Mac), sans craindre (ni subir) quoi que ce soit.

ca fait mal au crane tout ça

Et si on tape omega sur gougoule, et qu'on clique sur le lien du site officiel, y'a danger

Il parle de firewall côté serveur, du côté de l'utilisateur je crois bien que c'est d'aucune utilité dans ce cas.
En passant par le lien de google, il n'y a pas de risque, ça m'étonnerait que les résultats du moteur de recherche soient corrompus

Edit : visiblement c'est corrigé