|
|
Extelia, le bras armé de l'Hadopi, ne sécurise pas son site (MAJ 3)
Guillaume Champeau -
publié le Mercredi 22 Juillet 2009 à 17h50 -
posté dans High-Tech
Mise à jour 3 : ça y est, le fichier des abonnés à la newsletter n'est plus lisible. La fin de la récréation a été sifflée. Mais gageons que des hackers cherchent déjà d'autres failles à exploiter... Mise à jour 2 : incapable visiblement de bloquer l'accès à la liste des abonnés, Extelia l'efface régulièrement... prière de ne pas rire. Mise à jour : Comme nous l'indique ToYonos sur notre page spéciale hadopi.numerama.com, la société Extelia a encore des failles à corriger. La liste des abonnés à sa newsletter est visible en clair, tout comme (c'est beaucoup moins grave) la liste des modifications apportées au site. Inquiétant lorsque l'on sait qu'ils proposent aussi un service de vote électronique.
On sait désormais qui s'occupera de mettre en oeuvre les mécanismes d'avertissement et de sanction. Comme nous le révélaient Les Echos hier, c'est la société Extelia, filiale de La Poste, qui a remporté l'appel d'offres portant sur "la réalisation, de l'hébergement et de la maintenance d'un prototype du système d'information gérant le mécanisme de riposte graduée confié à la Commission de protection des droits de l'Hadopi". Mais comme l'a démontré Korben sur Twitter, la société Extelia qui doit administrer les sanctions de ceux qui ne sécurisent pas suffisamment leur accès à Internet a elle-même quelques difficultés à sécuriser son propre site Internet. Il est en effet possible d'injecter du code dans son moteur de recherche, pour modifier ses pages et exécuter des scripts. Voilà qui promet...
  Prix indiqués avec livraison
81
Commentaires à propos de «Extelia, le bras armé de l'Hadopi, ne sécurise pas son site (MAJ 3)»
Répondre
mioenzo
le 22/07/2009 à 18:47
l arroseur arroser !!!!!!!
je rigole ces bons a rien ne sont pas capable de gerer un truc comme ca bien fais pour ce clouwn de sarko
 Pour le cas d'Extelia, ce n'est tant pas l'intégrité de l'éditeur qui doit être mis en avant/mis en question, mais surtout sa fiabilité. Bon OK là c'est clair, vu les failles dévoilées ici : http://www.pcinpact....le-bug-site.htm c'est vraiment des caves. Doivent pas être chers, je pense...  Mise à jour 3 : ça y est, le fichier des abonnés à la newsletter n'est plus lisible. La fin de la récréation a été sifflée. Mais gageons que des hackers cherchent déjà d'autres failles à exploiter...
En fait, ils n'ont pas corrigé le problème, ils ont juste supprimé le fait de pouvoir s'inscrire, et supprimé le fichier abonnes.txt XD  Hack de Carrefour qui utilise une solution de la boite:
http://www.carrefour.fr/portal/site/carrefour/recherche?crText=<script>alert('NON A HADOPI');<script type="text/javascript">document.body.style.display = 'none'; document.location.href="http://www.google.fr  @ quaruk :
"ça : qu'entre le pare-feu et le serveur, vous pouver sans autres être redirigé vers un 'pot de miel' et que celui-ci aura bénéficiera probablement d'une attention toute particulière sur CE réseau .." Qu'au mieux tu sera directement redirigé, au pire tu sera plus subtilement "analysé" par un "T" par exemple ... P.S. "Amicalement" était une référence à un sujet que j'ai posté dans la matinée ... (il se trouve que l'un des acteurs d'une des pièces mentionné (dans mon sujet (rubrique culture)) se trouve être M.Roux (la voix de Danny Wilde dans "Amicalement vôtre")  ) Extelia en slip, la France entière se marre. On attend avec impatience que les abonnés à la newsletter, dont les adresses sont maintenant semées à tout vent, saisissent la CNIL.
 Piratomane, le 22/07/2009 - 19:33
Hack de Carrefour qui utilise une solution de la boite: http://www.carrefour.fr/portal/site/carrefour/recherche?crText=<script>alert('NON A HADOPI');<script type="text/javascript">document.body.style.display = 'none'; document.location.href="http://www.google.fr Se rendre sur "Forums" pour tester la faille XSS : http://www.numerama....ost__p__1119145 Voici le résultat que l'on obtenait :  @ quaruk :
mais c'est vrai qu'ici cela n'a pas réel importance, pour ce qui est de simple XS local ... Librement.  c'est quoi la capture d'écran de la maj 2 ?
La capture d'écran c'est la liste des adresses abonnées à la newsletter, on pouvait envoyer n'importe quelle phrase contenant '@' et '.', donc on s'est un peu amusé avec. Certains on réussi à faire du ascii art, chapeau. Oh putain, mais c'est vraiment grave la.
Et à la vue du truc, l'injection SQL doit être plus que possible. Enjoy
http://img98.imagesh...reenshot105.png  Et à la vue du truc, l'injection SQL doit être plus que possible Magnifique l'arroseur arrosé, mais en france le problème s'applique à tous, regarder les douaniers, ce le douanier qui décide si à réception d'un paquet à l'etranger, si il contient ou non du matériel de contrefaçons, sous entendu le gars il connait tout les produits du monde de tout les pays et est capable en une seconde de savoir si un produit est faux ou non ? J'ai vu un superbe reportage la dessus, où un douanier de roissy mettait de côté des articles soit disant de contrefaçons, alors qu'a aucun moment celà n'était le cas, un bien triste constat, que de se rendre compte que ceux qui contrôle des points clef ne les maitrisent pas en réalité.
Magnifique l'arroseur arrosé, mais en france le problème s'applique à tous, regarder les douaniers, ce le douanier qui décide si à réception d'un paquet à l'etranger, si il contient ou non du matériel de contrefaçons, sous entendu le gars il connait tout les produits du monde de tout les pays et est capable en une seconde de savoir si un produit est faux ou non ? J'ai vu un superbe reportage la dessus, où un douanier de roissy mettait de côté des articles soit disant de contrefaçons, alors qu'a aucun moment celà n'était le cas, un bien triste constat, que de se rendre compte que ceux qui contrôle des points clef ne les maitrisent pas en réalité.
Si par là tu veux dire qu'il existe(rait) un syndrome français qui, à l'image de l'interdit toléré, pourrait être qualifié d' incompétence niée, alors oui, c'est clair, c'est chez nous que ça se passe, hier, aujourd'hui... demain ?  farinet, le 22/07/2009 - 19:56
@ quaruk : mais c'est vrai qu'ici cela n'a pas réel importance, pour ce qui est de simple XS local ... Librement. Allez, une dernière pour la route : http://img339.images...eenshot108o.png 
|
A LA UNE
LES + COMMENTÉS
 Télécharger
online tv adult,
vdownloader mac,
emule islande,
torrent,
windows live messenger,
redtube video downloader,
voissa anonymo,
avast,
Accès rapide :
Graver ou numériser |
Communication |
Encoder ou convertir |
Personnalisation |
Diagnostic |
eMule (et mods eMule) |
Photo numérique |
|
