|
|
Extelia, le bras armé de l'Hadopi, ne sécurise pas son site (MAJ 3)
Guillaume Champeau -
publié le Mercredi 22 Juillet 2009 à 17h50 -
posté dans High-Tech
Mise à jour 3 : ça y est, le fichier des abonnés à la newsletter n'est plus lisible. La fin de la récréation a été sifflée. Mais gageons que des hackers cherchent déjà d'autres failles à exploiter... Mise à jour 2 : incapable visiblement de bloquer l'accès à la liste des abonnés, Extelia l'efface régulièrement... prière de ne pas rire. Mise à jour : Comme nous l'indique ToYonos sur notre page spéciale hadopi.numerama.com, la société Extelia a encore des failles à corriger. La liste des abonnés à sa newsletter est visible en clair, tout comme (c'est beaucoup moins grave) la liste des modifications apportées au site. Inquiétant lorsque l'on sait qu'ils proposent aussi un service de vote électronique.
On sait désormais qui s'occupera de mettre en oeuvre les mécanismes d'avertissement et de sanction. Comme nous le révélaient Les Echos hier, c'est la société Extelia, filiale de La Poste, qui a remporté l'appel d'offres portant sur "la réalisation, de l'hébergement et de la maintenance d'un prototype du système d'information gérant le mécanisme de riposte graduée confié à la Commission de protection des droits de l'Hadopi". Mais comme l'a démontré Korben sur Twitter, la société Extelia qui doit administrer les sanctions de ceux qui ne sécurisent pas suffisamment leur accès à Internet a elle-même quelques difficultés à sécuriser son propre site Internet. Il est en effet possible d'injecter du code dans son moteur de recherche, pour modifier ses pages et exécuter des scripts. Voilà qui promet...
  Prix indiqués avec livraison
81
Commentaires à propos de «Extelia, le bras armé de l'Hadopi, ne sécurise pas son site (MAJ 3)»
  Fait une recherche sur _farinet_ ... (Valais, Suisse ...) Quelqu'un qui fût assassiné parce que ses contrefaçons avait plus de valeurs que les originaux ! (véridique !!!) P.S. Il garde encore aujourd'hui une vigne de 3 ceps à son nom ... Librement. Vu que l'industrie gouvernemental rentre doucement dans ces _misérables_ fonctions; je crois que c'est une 'bonne' (ET LIBRE
) signature ... Librement Bon la dernière pour la route (semble pas mentionné sur le wiki) :
La fausse monnaye de Farinet contenais PLUS d'argent (le métal) que la monnaye de l'époque en Valais ... (ce qui n'a apparemment pas plus au 'gouvernement' de l'époque ...) Librement.  Le meilleur sur le site d'Extelia, c'est le vote en ligne. on va finir par avoir des votes à l'iranienne avec 140% de votants.
 et celui la il est pas mal non ?
http://www.extelia.fr/moteur-recherche.asp?moteur=<script>document.getElementById('conteneur').innerHTML='On est une bande de nul raaaa la la un site ASP qui en plus fait par un stagiaire ...!'  elle en veut encore
 http://www.extelia.fr/moteur-recherche.asp?moteur=<script>alert(' Coucou, c\'est Christine, Je te veux... Prend-moi!!!')%3B  Deux petites dernières à la fois parodiques et pédagogiques:
* extelia 1 * extelia 2 Cette faille a depuis été corrigée, mais voici le résultat que l'on obtenait :   @ Kysban :
Pas vraiment regarder ton cite, par contre si tu manque d'exemples pour du XS ... : http://ha.ckers.org/xss.html Pas 'ultra' actuel, mais plutôt éducatif pour sécurisé son cite/serveur. P.S. (pour les 'nouveaux') N'oublier pas que : 1.) une intrusion est un délit ! 2.) qu'entre le pare-feu et le serveur, vous pouver sans autres être redirigé vers un 'pot de miel' et que celui-ci aura bénéficiera probablement d'une attention toute particulière sur CE réseau ... Librement. "L'intrusion" n'est pas actée si on fait une simple injection "volatile" de HTML ou Javascript (~HTML dans un sens) car seul son propre client est "victime" du code renvoyé durant le retour de la requête HTTP. En effet, tant que l'injection n'est pas pérennisée sous forme, par exemple, de post dans un forum qui les sauvegarde et les renvoie aux autres clients, le système cible n'est en rien corrompu ou "percé". Maintenant ça reste super fendard Donc les captures d'écran, c'est bon, mangez-en ! Un petit concours ? Quant au reste j'ai pas saisi ce que tu voulais dire ? ----- Librement vôtre @ qaruk (j'ai pas ton pseudo complet là ...)
En effet, tant que l'injection n'est pas pérennisée sous forme, par exemple, de post dans un forum qui les sauvegarde et les renvoie aux autres clients, le système cible n'est en rien corrompu ou "percé". Juste, et c'est vrai qu'ici on en reste là (plus ou moins ) "Donc les captures d'écran, c'est bon, mangez-en ! Un petit concours ?" Ok, mais personnellement j'attendrais que que toutes leurs illusions soient "constipationaliser" (histoire de leurs rappeler ce que Coluche pensait à ce sujet (les "dragées et les couches" ) "Quant au reste j'ai pas saisi ce que tu voulais dire ?" à quel propos ? (je survole en diagonal ici ...) ----- Amicalement ? @ qaruk (j'ai pas ton pseudo complet là ...)
Zurack. C'est un anagramme, mais je sais pas encore de quoi. "Quant au reste j'ai pas saisi ce que tu voulais dire ?" à quel propos ? (je survole en diagonal ici ...) ----- Amicalement ? ça : u'entre le pare-feu et le serveur, vous pouver sans autres être redirigé vers un 'pot de miel' et que celui-ci aura bénéficiera probablement d'une attention toute particulière sur CE réseau ..
Librement Personellement, crier au loup pour le principe même de vote en ligne est un brin obscurantiste je trouve. Car après tout, qu'il y ait possibilité de truchement c'est un fait, mais que le biais technique soit l'informatique, ce n'est pas une condition suffisante. A contrario, on a déjà (et récemment !) pu observer des tentatives ratées de triche durant des scrutin "à la mano". Après tout, combien parmis les votant participent aux dépouillements et vérifient que tout est bien réglementaire ? Pour le cas d'Extelia, ce n'est tant pas l'intégrité de l'éditeur qui doit être mis en avant/mis en question, mais surtout sa fiabilité.  pendant ce temps la, l'admin à l'air d'avoir du mal avec liste des abonnés à la newsletter :
http://www.extelia.f...nes/abonnes.txt @qaruk.zurak
Pour le cas d'Extelia, ce n'est tant pas l'intégrité de l'éditeur qui doit être mis en avant/mis en question, mais surtout sa fiabilité.
Bah justement, vu le niveau de sécurité de leur site, c'est bien sur ce point que je dis que ca fait peur. Donc au passage, je ne crie pas au loup pour leur intégrité...
|
A LA UNE
LES + COMMENTÉS
 Télécharger
my torrent client,
virtualgirl hd,
online tv adult,
vdownloader mac,
emule islande,
torrent,
windows live messenger,
redtube video downloader,
Accès rapide :
Graver ou numériser |
Communication |
Encoder ou convertir |
Personnalisation |
Diagnostic |
eMule (et mods eMule) |
Photo numérique |
|
Librement.
Ta formule de politesse/signature, c'est copyrighté ou Kopimi ? (j'aimerais l'employer aussi