Faille XSS sur Hadopi.fr, une négligence caractérisée bientôt corrigée

Faye 76
Une première faille vient d’être trouvée sur le site d’Hadopi.fr. « Le site Hadopi.fr étant sorti depuis quelques jours (enfin !) il était trop tentant de ne pas essayer de réitérer le message en cherchant de petites choses sur un site relativement bien sécurisé parce que tout en statique ! » explique Paul da Silva, nouveau représentant du Parti Pirate, pour qui  « la négligence caractérisée est une belle fumisterie impossible, même pour une société comme Extelia  », l'éditeur d'Hadopi.fr

hadopi

L’intéressé pointe du coup une faille XSS (cross-site scripting) qui se nichait dans le formulaire de contact. Une faille « à peine exploitable » concède Paul da Silva qui permettait cependant de déclencher une alerte Javascipt. « En soi, ça ne présente aucun intérêt, mais il est possible de remplacer le code alert(1) par quelque chose de plus agressif (comme les fameux XSS de twitter il y a quelques jours) ». Conformément aux règles de l’art, la Hadopi a été avertie de cette « négligence caractérisée » et Hadopi a pris les devants pour corriger la faille : « on en revient donc à la solution ultime : pour sécuriser votre connexion débranchez votre box ! » (un conseil donné par le secrétaire général de l'autorité)

hadopi formulaire 

Publiée le 04/10/2010 à 10:51
Marc Rees

Journaliste, rédacteur en chef

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €

Publicité