Archives par étiquette : faille

L’extranet de TMG aussi est vulnérable au XSS

Bon c’est pas que j’ai l’impression de me répéter mais après avoir découvert une faille XSS sur Hadopi.fr je pensais qu’ils feraient le nécessaire auprès des autres prestataires au service de cette loi, à commencer par celui qui manipule toutes les informations sensibles : la fameuse police privée TMG.

Le truc drôle c’est que même si j’espérai que hadopi.fr et les 40 sites gouvernementaux vulnérables trouvés avec Bluetouff et RootBSD commenceraient à les faire réfléchir sur la pertinence d’un délit de négligence caractérisée ou au moins les pousser à sécuriser un minimum leurs outils (oui parce que bon, donner l’exemple c’est mieux quand on veut « changer les comportements »)… Je n’y ai jamais cru un instant…

Bref ce coup-ci c’est l’interface qui sert aux ayants-droits pour communiquer avec la Hadopi qui présente une vulnérabilité au XSS sur le formulaire de connexion, fièrement suivi d’un logo « Secured by Thawte ». Bah oui la sécurisation c’est pas juste un certificat valide (aka une solution technique), c’est un ensemble de comportements et de précautions à prendre que l’on ne peut pas demander à un simple citoyen de connaitre et de maitriser quand ceux qui mettent en place des sites pour le gouvernement, les Hautes Autorités ou les milices à financement public n’en sont pas capables…

Cette faille permettrait quand même, si j’envoie un lien malicieux à quelqu’un de connecté à l’interface en question (au hasard chez l’Alpa ?), de voler ses cookies et de les envoyer sur un serveur tiers. Partant de là je n’ai plus qu’à recréer le cookie de mon côté pour être connecté à mon tour exactement comme si j’avais eu les informations de connexion…

Comme pour Hadopi.fr l’utilisation de $_REQUEST est une aberration, le filtrage des infos passées ou tout simplement un petit htmlentities aurait pu éviter cela… Ça coute pas plus cher les gars hein !

J’ai bien sur averti qui de droit (Eric Walter sur Twitter et TMG via le formulaire de contact dispo sur leur site) pour qu’ils corrigent… Mais on ne devrait pas trouver ce type de failles sur ce type de sites…

Je vous laisse sur la réflexion suivante : est-il normal de laisser le droit à cette entreprise dont la structure présente pour le coup des signes manifestes de négligence caractérisée le droit de collecter des informations sensibles sur des Internautes qui vont être accusés à leur tour d’être négligents ?