S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Faille XSS sur Hadopi.fr, une négligence caractérisée bientôt corrigée

Faye

Une première faille vient d’être trouvée sur le site d’Hadopi.fr. « Le site Hadopi.fr étant sorti depuis quelques jours (enfin !) il était trop tentant de ne pas essayer de réitérer le message en cherchant de petites choses sur un site relativement bien sécurisé parce que tout en statique ! » explique Paul da Silva, nouveau représentant du Parti Pirate, pour qui  « la négligence caractérisée est une belle fumisterie impossible, même pour une société comme Extelia  », l'éditeur d'Hadopi.fr

hadopi

L’intéressé pointe du coup une faille XSS (cross-site scripting) qui se nichait dans le formulaire de contact. Une faille « à peine exploitable » concède Paul da Silva qui permettait cependant de déclencher une alerte Javascipt. « En soi, ça ne présente aucun intérêt, mais il est possible de remplacer le code alert(1) par quelque chose de plus agressif (comme les fameux XSS de twitter il y a quelques jours) ». Conformément aux règles de l’art, la Hadopi a été avertie de cette « négligence caractérisée » et Hadopi a pris les devants pour corriger la faille : « on en revient donc à la solution ultime : pour sécuriser votre connexion débranchez votre box ! » (un conseil donné par le secrétaire général de l'autorité)

hadopi formulaire 

Marc Rees

Journaliste, rédacteur en chef

Publiée le 04/10/2010 à 10:51

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 76 commentaires

Avatar de jackjack INpactien
jackjack Le lundi 4 octobre 2010 à 18:48:31
Inscrit le jeudi 20 mai 10 - 677 commentaires
Quel intérêt de modifier un message d'alerte JavaScript lorsqu'on sait pertinemment que celui-ci est exécuté sur le poste client?

C'est à dire sur son propre poste et pas ailleur

A part peut être vouloir péter plus haut que son cul

Toi c'est pas le première fois que je te prends à dire des conneries
Avatar de Commentaire_supprime INpactien
Commentaire_supprime Le lundi 4 octobre 2010 à 19:46:10
Inscrit le vendredi 31 octobre 08 - 27165 commentaires
Je t'invites à rechercher le terme "XSS".


Pour les deux dernières lettres de cette abréviation, c'est tout le portrait de cette haute autorité...

--------------------------- et merde, il pleut ! -------------------------------> []

Avatar de cob59 INpactien
cob59 Le lundi 4 octobre 2010 à 19:58:13
Inscrit le vendredi 23 octobre 09 - 203 commentaires
Vous faîtes vraiment toute une montagne d'une taupinière.

La faille XSS présente sur hadopi.fr ne correspond qu'à un défaut minime dans l'interface utilisateur (voilà ce qui arrive quand on n'utilise pas Flash...). A ce compte, la sécurisation du site "côté serveur" n'est pas affectée.

Mais surtout, quel rapport entre une vulgaire faille de formulaire sur un site internet, et le fait qu'un particulier laisse sa *Box sans password et ouverte aux détournements ? Aucun.
Avatar de Z-os INpactien
Z-os Le lundi 4 octobre 2010 à 20:00:42
Inscrit le lundi 27 avril 09 - 971 commentaires
Je m'amuse à changer le captcha plusieurs fois de suite http://hadopi.fr/contact.php). résultat :

Forbidden

You don't have permission to access /contact.php on this server.


Avatar de jackjack INpactien
jackjack Le lundi 4 octobre 2010 à 20:03:35
Inscrit le jeudi 20 mai 10 - 677 commentaires
Ça sent le troll.gif
Avatar de Manu114 INpactien
Manu114 Le lundi 4 octobre 2010 à 20:33:38
Inscrit le lundi 3 mai 10 - 606 commentaires
j'aime bien les 3 cas pour les contacter :

Je souhaite signaler une erreur sur le site.
Je suis parlementaire ou élu local, je souhaite des informations spécifiques.
Je suis journaliste, je souhaite d'autres informations que celles présentes dans la rubrique presse.

Et moi je peu pas les contacter ? :(
Avatar de Jarodd INpactien
Jarodd Le lundi 4 octobre 2010 à 21:27:03
Inscrit le mardi 26 octobre 04 - 19558 commentaires
Faildopi
Avatar de illustreanonyme INpactien
illustreanonyme Le lundi 4 octobre 2010 à 23:10:26
Inscrit le mercredi 18 février 09 - 1262 commentaires


Hadopi a des failles ?

elle a qu'à se faire tirer...
la peau !

Ok je sors
Avatar de luke42410 INpactien
luke42410 Le lundi 4 octobre 2010 à 23:35:35
Inscrit le lundi 2 août 10 - 12 commentaires
Ils ont pensé à mettre un code Captcha sur leur formulaire maintenant

Connaisent-t-ils les failles par injections SQL ? sur contact.php ?

J'ai pas trop le temps de m'y mettre :s
Avatar de -Gui- INpactien
-Gui- Le lundi 4 octobre 2010 à 23:44:15
Inscrit le mardi 26 juillet 05 - 312 commentaires
Vous faîtes vraiment toute une montagne d'une taupinière.

La faille XSS présente sur hadopi.fr ne correspond qu'à un défaut minime dans l'interface utilisateur (voilà ce qui arrive quand on n'utilise pas Flash...). A ce compte, la sécurisation du site "côté serveur" n'est pas affectée.

Mais surtout, quel rapport entre une vulgaire faille de formulaire sur un site internet, et le fait qu'un particulier laisse sa *Box sans password et ouverte aux détournements ? Aucun.

Je pense qu'il suffit de mettre un petit js perso en ligne, modifier un peu l'injection de code et on peut faire télécharger une tonne de MP3 illégaux dans les fichiers temporaires de ton navigateur (donc sur ton disque dur) avec une page qui affiche le site hadopi...
;