Faille XSS sur Hadopi.fr, une négligence caractérisée bientôt corrigée
Faye
Une première faille vient d’être trouvée sur le site d’Hadopi.fr. « Le site Hadopi.fr étant sorti depuis quelques jours (enfin !) il était trop tentant de ne pas essayer de réitérer le message en cherchant de petites choses sur un site relativement bien sécurisé parce que tout en statique ! » explique Paul da Silva, nouveau représentant du Parti Pirate, pour qui « la négligence caractérisée est une belle fumisterie impossible, même pour une société comme Extelia », l'éditeur d'Hadopi.fr
L’intéressé pointe du coup une faille XSS (cross-site scripting) qui se nichait dans le formulaire de contact. Une faille « à peine exploitable » concède Paul da Silva qui permettait cependant de déclencher une alerte Javascipt. « En soi, ça ne présente aucun intérêt, mais il est possible de remplacer le code alert(1) par quelque chose de plus agressif (comme les fameux XSS de twitter il y a quelques jours) ». Conformément aux règles de l’art, la Hadopi a été avertie de cette « négligence caractérisée » et Hadopi a pris les devants pour corriger la faille : « on en revient donc à la solution ultime : pour sécuriser votre connexion débranchez votre box ! » (un conseil donné par le secrétaire général de l'autorité)
L’intéressé pointe du coup une faille XSS (cross-site scripting) qui se nichait dans le formulaire de contact. Une faille « à peine exploitable » concède Paul da Silva qui permettait cependant de déclencher une alerte Javascipt. « En soi, ça ne présente aucun intérêt, mais il est possible de remplacer le code alert(1) par quelque chose de plus agressif (comme les fameux XSS de twitter il y a quelques jours) ». Conformément aux règles de l’art, la Hadopi a été avertie de cette « négligence caractérisée » et Hadopi a pris les devants pour corriger la faille : « on en revient donc à la solution ultime : pour sécuriser votre connexion débranchez votre box ! » (un conseil donné par le secrétaire général de l'autorité)
Marc Rees
le 4 octobre 2010 à 10:51
(30 395
lectures)
Actualités et brèves relatives
- 04 / 10 / 2010 : Concours de détournement d'Hadopi.fr : les résultats !
- 04 / 10 / 2010 : Orange et SFR devraient envoyer les emails Hadopi ce matin
- 02 / 10 / 2010 : Les 1ers emails Hadopi envoyés par Bouygues et Numericable
- 01 / 10 / 2010 : Hadopi.fr : concours de détournement du site officiel
- 01 / 10 / 2010 : Hadopi.fr est ouvert, le filtrage en coulisse
- 01 / 10 / 2010 : Pour sa 1ère vague, Hadopi épargnera entreprises et institutions
- 30 / 09 / 2010 : Le Conseil National Numérique s'embourbe sur fond de critiques
- 30 / 09 / 2010 : La Hadopi profitera d'un budget de 12 millions d'euros en 2011
