S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Faille XSS sur Hadopi.fr, une négligence caractérisée bientôt corrigée

Faye

Une première faille vient d’être trouvée sur le site d’Hadopi.fr. « Le site Hadopi.fr étant sorti depuis quelques jours (enfin !) il était trop tentant de ne pas essayer de réitérer le message en cherchant de petites choses sur un site relativement bien sécurisé parce que tout en statique ! » explique Paul da Silva, nouveau représentant du Parti Pirate, pour qui  « la négligence caractérisée est une belle fumisterie impossible, même pour une société comme Extelia  », l'éditeur d'Hadopi.fr

hadopi

L’intéressé pointe du coup une faille XSS (cross-site scripting) qui se nichait dans le formulaire de contact. Une faille « à peine exploitable » concède Paul da Silva qui permettait cependant de déclencher une alerte Javascipt. « En soi, ça ne présente aucun intérêt, mais il est possible de remplacer le code alert(1) par quelque chose de plus agressif (comme les fameux XSS de twitter il y a quelques jours) ». Conformément aux règles de l’art, la Hadopi a été avertie de cette « négligence caractérisée » et Hadopi a pris les devants pour corriger la faille : « on en revient donc à la solution ultime : pour sécuriser votre connexion débranchez votre box ! » (un conseil donné par le secrétaire général de l'autorité)

hadopi formulaire 

Marc Rees

Journaliste, rédacteur en chef

Publiée le 04/10/2010 à 10:51

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 76 commentaires

Avatar de Stendhal INpactien
Stendhal Le lundi 4 octobre 2010 à 13:52:31
Inscrit le samedi 25 septembre 10 - 156 commentaires
Mouais enfin vous feriez mieux de balayer devant votre porte d'abord.

PCI est vulnérable à plein d'attaques CSRF. En fait, presque toute action sur PCI est vulnérable à du CSRF.

J'ai ouï dire P-A favoriser le développement de la nouvelle version de PC INpact. Il y avait loin de cette remarque.
Avatar de Stendhal INpactien
Stendhal Le lundi 4 octobre 2010 à 14:02:03
Inscrit le samedi 25 septembre 10 - 156 commentaires
Une question me turlupine.
Si nous venions à développer un mouchard, libre et gratuit, et faire valider ce dernier par la haute autorité pour en fin le distribuer et l'installer sur une machine virtuelle, serions-nous à l'abri de cette hadopdi ?
Avatar de illustreanonyme INpactien
illustreanonyme Le lundi 4 octobre 2010 à 14:15:18
Inscrit le mercredi 18 février 09 - 1262 commentaires
Une question me turlupine.
Si nous venions à développer un mouchard, libre et gratuit, et faire valider ce dernier par la haute autorité pour en fin le distribuer et l'installer sur une machine virtuelle, serions-nous à l'abri de cette hadopdi ?


...mais tu peux toujours essayer !!!
Avatar de manudwarf Modérateur
manudwarf Le lundi 4 octobre 2010 à 14:18:39
Inscrit le dimanche 14 décembre 08 - 4183 commentaires
Une question me turlupine.
Si nous venions à développer un mouchard, libre et gratuit, et faire valider ce dernier par la haute autorité pour en fin le distribuer et l'installer sur une machine virtuelle, serions-nous à l'abri de cette hadopdi ?

Ce n'est pas impossible. Mais dire que ça serait aussi simple serait mentir.
Avatar de atomusk Modérateur
atomusk Le lundi 4 octobre 2010 à 14:25:29
Inscrit le mardi 20 juillet 04 - 21745 commentaires
Une question me turlupine.
Si nous venions à développer un mouchard, libre et gratuit, et faire valider ce dernier par la haute autorité pour en fin le distribuer et l'installer sur une machine virtuelle, serions-nous à l'abri de cette hadopdi ?


Il faut bien comprendre une chose ... le soft de sécurisation n'a aucun interet autre que d'essayer de montrer ta bonne foi.

Ce n'est pas une "preuve" que tu n'as pas téléchargé, mais un "bon point".
Autrement dit c'était un délire pour faire accepter aux députés de droites que Hadopi n'était fait pour faire un déli de la "non expertise en informatique"

Mais non ! regardez il suffira d'installer un "logiciel magique" et HOP ! on vous coupe pas la connection fume.gif

Et voilà ! on fait voter !
Maintenant ce que fait ce logiciel, ce qu'il apporte ou quoi que ce soit ce n'est pas le problème. Si ta connnection est utilisée pour faire du piratage avec soft ou pas, tu auras une négligeance et c'est tout
Avatar de Stendhal INpactien
Stendhal Le lundi 4 octobre 2010 à 14:42:44
Inscrit le samedi 25 septembre 10 - 156 commentaires
Quand bien même ce mouchard serait labellisé par cette autorité, nous ne pourrions l'utiliser comme élément de preuve ?
C'est scandaleusement aberrant !
Avatar de atomusk Modérateur
atomusk Le lundi 4 octobre 2010 à 14:50:13
Inscrit le mardi 20 juillet 04 - 21745 commentaires
Quand bien même ce mouchard serait labellisé par cette autorité, nous ne pourrions l'utiliser comme élément de preuve ?
C'est scandaleusement aberrant !


Bienvenu dans la réalité

Il n'y a aucun moyen de "prouver" que ta connexion n'a pas été utilisé à des fins de contrefaçon si il y a un procès verbal "prouvant" qu'elle l'a été.

C'est le bonheur du déli de négligence carractèrisé.

De toute façon la seule façon pour que ça marche serait de mettre un control parental sur tous les postes et un soft sur la box n'autorisant les connections que des PC utilisant ce soft.
Soft fonctionnant bien entendu sur liste blanche ...

Autant dire, encore mieux que la chine niveau censure

Même le DPI intégré dans la box n'est pas suffisant vu que tu pourrais passer par du VPN.
Ou alors il faudrait bloquer tout flux VPN, mais je pense que les entreprises ne seront pas heureuses


Le gag géant c'est le coup qu'ils nous sortent à chaque fois : la preuve disque dur. il suffira d'apporter ton HDD à l'Hadopi ...

Franchement le mec qui me sort ça je lui balance le HDD du PC de mon grand père à la geule : 128Mo, pas un fichier piraté dessus (et 0,5Kg )
Tu en veux d'autres ? j'en ai une petite dixaines de HDD en tout genre de la période "pré-internet"
garantie sans fichier piraté
Avatar de raphaelc INpactien
raphaelc Le lundi 4 octobre 2010 à 14:51:04
Inscrit le mardi 6 mai 08 - 374 commentaires
c'est marrant passkeu ici ils disent que le contenu est géré avec Drupal :

http://hadopi.fr/informations-legales-et-editoriales.html

et quand on va ici, il disent que non :

http://isthissitebuiltwithdrupal.com/

chelou non ?
Avatar de linkin623 INpactien
linkin623 Le lundi 4 octobre 2010 à 14:53:45
Inscrit le lundi 5 mai 08 - 6553 commentaires


Tu en veux d'autres ? j'en ai une petite dixaines de HDD en tout genre de la période "pré-internet"
garantie sans fichier piraté


Le piratage ça se faisait avant internet (disons accessible)... Me rappelle les disquettes échangées en douce de Duke Nukem 3d et autre CD ...
Avatar de Stendhal INpactien
Stendhal Le lundi 4 octobre 2010 à 16:02:08
Inscrit le samedi 25 septembre 10 - 156 commentaires
Nous devrions imaginer un réseau nouveau pour remplacer le Web.
;