|
|
Carrefour, client d'Extelia, victime collatérale de l'Hadopi
Guillaume Champeau -
publié le Jeudi 23 Juillet 2009 à 11h59 -
posté dans Société 2.0
Il ne fait pas bon être prestataire autour de l'Hadopi. L'hébergeur du site de propagande du ministère de la culture s'en souvient encore. La société Extelia, filiale de la Poste choisie par le ministère de la Culture pour mettre en œuvre la gestion des avertissements et sanctions de l'Hadopi, fait le bonheur des hackers en herbe. Elle a dû ajouter en urgence quelques rustines à son site Internet mercredi, après que des failles de sécurité ont été dévoilées qui permettaient d'accéder notamment au fichier d'abonnés de la newsletter d'Extelia ou de modifier ses pages. Des failles particulièrement risibles lorsque l'on sait que l'Hadopi devra sanctionner les abonnés à Internet qui ne sécurisent pas suffisamment bien leur accès à Internet. Ou effrayantes lorsque l'on voit que la société gère aussi des services de vote électronique. Mais les clients d'Extelia risquent de beaucoup moins apprécier l'humour. Carrefour, l'un des principaux (si ce n'est le principal), utilise les mêmes scripts non sécurisés mis en place par le prestataire. Sans surprise, il a été hacké. "Je suis chômeur, je ne suis pas programmeur de métier, juste un graphiste, qui a pondu une ligne de code et un jpg a la vavite", nous indique un lecteur qui a utilisé les failles du site de Carrefour. "J'en ai marre de me faire "voler" des jobs par de simples stagiaires payés au rabais, pour ensuite tomber sur des bouses infâmes qui sont bourrées de failles, et tout moches". On lui laissera la responsabilité de ses propos... Le hack, en tout cas, a donné des idées à notre plaisantin. Il propose d'acheter des logiciels de sécurisation labellisés par l'Hadopi sur le site de Carrefour :
à lire aussi
  Prix indiqués avec livraison
74
Commentaires à propos de «Carrefour, client d'Extelia, victime collatérale de l'Hadopi»
Inscrit le 07/11/2007
9 messages publiés
Envoyer un message privé
DarkHope
le 23/07/2009 à 12:06
Pour une boite censée sanctionner la non sécurisation du réseau, je trouve ça quand même très fort.
Répondre
En fait je crois que si une boite veut tester gratos la sécurité de son site web, il suffit qu'elle sponsorise Hadopi. Bon c'est un test assez brutal mais quand on veut ce qu'il y a de meilleur il faut pas hésiter !
EDIT: Ne prenez pas en compte ce message, je me suis trompé, regardez plutot le message de mon charmant voisin du dessous
 [message édité par Amaury le 23/07/2009 à 12:26
]
C'est pas très méchant, mais recherchez aussi une balise iframe avec un src menant a google.com et Vous aurez votre Google sur carrefour !
Evidemment, vous pouvez faire dire n'importe quoi à Carrefour 
Il y a quelque jours, il y avait la vidéo du petit actionnaire ... qui a attrapé la chiasse.
http://www.koreus.co...se-chiasse.html 
En même temps, ce genre de "faille" est aussi intéressante que de faire un photo-montage... Ca permet juste de faire afficher des "choses" pour soi, pas de modifier le site à la vue de tous.
en fait Extelia qui accepte l'appel d'offre epublic pour devenir la milice privée chasseresse de mechants internautes n'ayant pas securisé leur reseau et qui s'etonnent de venir se faire percuter pour verifier leur sécurité a eux ca me fait un peu penser à une nana qui minauderait "aaah non hors de question qu'on me sodomise !" pendant qu'elle verserai toutun tube d elubrifiant sur son anus
Mouai...
A quand la liste des clients carrefours avec leurs adresses postal et tout et tout ? La je crois que je serai prêt à porter plainte... 
Oui et non. Là c'est parce que c'est "gentil". Mais la faille peut être exploitée pour exécuter des scripts beaucoup plus dangereux.
aaah j'arrive pas a poster sur le flux "reagir" de hadopi
 tant pis, j'viens d'entendre le ministre mitterrand parler de nombreux COUPS DE SEMENCE donc c clair il veux nous emBIIIIPer
Ca n'est vraiment pas un hack mais plutôt l'oeuvre d'un script kiddy qui ferait mieux de se mettre à l'orthographe. En gros il utilise la query string de l'URL pour passer l'url d'une image. A ce compte là, autant carrément modifier l'URL... Ce prétendu hack ne sert strictement à rien à part à modifier ce qu'affiche le navigateur chez le pseudo hacker. C'est dingue comme on peut faire de l'info avec rien. (regardez je fais apparaitre le mot caca sur Numerama : http://www.numerama....recherche/caca)
Bien joué, les clients d'Extelia vont se mettre a flipper si ça continue. Y a pas que le DDOS dans la vie
 edit : Je précise : si tous les clients d'Extelia ont eu leur site programmés avec aussi peu de considération pour la sécurité, ils vont se mettre à flipper [message édité par Akuseru le 23/07/2009 à 13:01
]
C'est dommage que les phrases des descriptifs des produits soient truffées de fautes, ils étaient drôles.
En fait on pourrait imaginer renvoyer un internaute vers cette page piégée, et au lieu d'y insérer une image, un script renvoyant le cookie de l'utilisateur vers la personne malveillante. Celui-ci pourrait alors utiliser le cookie pour réaliser des opérations sur votre compte par exemple. En détail ici : http://fr.wikipedia...._site_scripting
Qui s'exécutent ... dans le navigateur de l'attaquant, et non sur le serveur. Si c'était le cas, le site serait déjà down
Certes, mais la cible des vilains pirates n'est pas vraiment l'internaute lambda je pense (dans le cas du terrorisme contre ce projet de loi à la con). Mais bon, en cherchant, on fini toujours par trouver
Tu peux également envoyé le client via un lien sur une page où on lui demande son login/password de son compte carrefour ou même plus grave, envoyer un mail via une campagne de fishing, ou tu redirige vers une page vérolé où tu récupère les infos de la carte PASS par exemple, et là en plus le site qui apparait est vraiment celui de carrefour avec dedans ton formulaire pirate... 
Je viens de voir qu'ils font aussi dans le payement électronique. Ne devrait-on pas informer leurs clients voire même les députés avant qu'une catastrophe ne se produise. Sait-on jamais!
Oh Punaise, je viens de voir que la Banque Populaire est un client et c'est ma banque. Désolé mais faites pas les c* avec mon compte. Il y en a qui sont plus garnis.que le mien. [message édité par Le Zozo du 22 le 23/07/2009 à 13:54
]
extelia risque de prendre cher vis a vis de ses clients. je ne pense pas que des clients comme carrefour aime la mauvaise pub
+1 scott512
J'avais commencé à faire un joli ptit login sur expedia mais j'ai abandonné, la piraterie devenait trop sérieuse.
Je suis terrifié de découvrir que la malédiction Hadopi qui poursuivait les politiques jusqu'à maintenant est en train de toucher aussi tous ceux qui circulent à côté comme cette boîte; et encore d'autres.
La Malédiction d'Hadopi, c'est une vraie pieuvre. 
Si les administrateur pouvaient mettre un lien vers cet ouvrage : http://www.ilv-editi...democratie.html
Il est sous licence libre et parle du vote électronique. plus particulièrement pourquoi certains sont pressés de le mettre ne place (qui a dit l'UMP ?). Chose amusante, il y a quelque temps, quand j'étais en cour, un prof a demandé qui faisait confiance au vote éléctronique. J'ai fait une école d'éléctronique/informatique/réseau/traitement de signal en fonction des options choisies. Des gens pour la plupart pro technologie donc, et plutôt sensibilisés au sujet. Deux se sont prononcé pour. Pour ma part, ce qui m'inquiète dans les failles trouvés sur ces sites, c'est que c'est qu'elles sont béantes. Elles relèvent d'un incompétence crasse. Tout lycéen ayant suivis les tutoriel du site du zéro par exemple est capable de les éviter. 
En tout cas chez Extelia il y a plusieurs trucs qui marche plus , la news letter qui renvoi sur une page de merde sans css ni rien, le moteur de recherche qui recherche plus rien. Je continue a farfouiller
Et en plus, c'est des ingrats. Ils ont une page répertoriant les articles sur eux parus dans la presse et rien sur Numérama qui leur a déja consacré plusieurs articles.
Ouais mais le fait de pouvoir exécutée du code extérieur par un moteur de recherche sous entend qu'il y a une failli critique sous-jacente. Certain peuvent l'exploiter.
bah non, c'est un moteur de recherche. La page dit "nous n'avons trouvé aucun résultat pour
Fau, c'est une belle forme de phishing bien moins aisée à détecter pour qui ne fait pas gaffe
Je salut le fond de cette intervention. Par contre pour ce qui est de la forme, faire des fautes dans un commentaire écrit à l'arrache c'est pas top. Par contre faire des fautes dans un truc aussi bien fait, je trouve que ça fait tache. Tout du moins pour un visiteur du site de carrefour qui n'est pas habitué au net et qui n'est pas au courant de ce qui se passe il est difficile de prendre ca au sérieux quand il y a de telles fautes de grammaire et d'orthographe.
Il doit aussi etre possible de recuperer des informations dans la base de données pour peu qu'il n'y en ai qu'une pour tout le site, apres il suffit d'avoir du bol dans le nom des tables !
@kubrick
si un administrateur du site passe par ce lien, ça fait toujours une session admin gagnée ... (à certaines conditions bien sûr). enfin ça reste la porte ouverte aux failles classiques du XSS.
ça fait un peu racolage de ne pas expliquer ce qui est montré dans l'article. Même si la faille XSS existe, la photo ne démontre que l'effet bidouille, que certaines personnes prendront pour des faits concrets. Pourquoi pas un montage avec paint pendant qu'on y est ? Un article digne de la désinformation ump/tf1
Etant donné le peu de personne capable d'exploiter une telle faille, dire que c'est possible soit, le qualifier de hack avec photo à l'appui !! sérieusement ? je vérifierais à deux fois les articles du journaliste à l'avenir
Sauf que "le peu de personnes capables" a bien augmenté depuis hier je trouve... n'importe quel lecteur de numerama ou de PCInpact connait ce genre de faille maintenant et le moyen de l'exploiter!!!!
Déjà dit, mais le "plaisantin" ferait mieux d'apprendre à écrire un minimum s'il veut retrouver du boulot...
ce qui est effrayant est que la faille en question est ultra-connue depuis 3 ans au minimum, normalement n'importe quelle équipe de développement compétente à déjà sécurisé son site web depuis bien longtemps!
Euh 3 ans, t'es bien gentil.. ce genre de faille est connu depuis les début de PHP ! Protéger ce qui rentre et ce qui sort doit être un automatisme.
Pas mal, c'est vrai quand on voit le nombre de stagiaires qui se la pète expert en sécurité ça fait peur...
Sinon très joli Hack
Il y a une différence énorme entre faire rentré du html dans un site pour lui faire dire ce qu'on veut, et faire en sorte que les données de ce site soit récupérer et diffuser à des tiers par le biais de la faille. Pourquoi pas changer la mise en page avec firebug et dire qu'on a fait un hack pendant qu'on y est ? ça ferait la même capture d'écran, avec encore moins d'effort. Je me répète, un magazine comme numerama aussi sérieux et pertinent sur des aspects juridiques qu'on ne soupçonne pas, qui sort une infamie pareille ça me déçoit. 
j'aime beaucoup la description sur le site jevoteenligne :
No comment  Quant aux 80 000 € de jaimeslesartistes.fr pour un site toujours offline... On dit merci qui ? Merci monsieur le contribuable avec qui on peut jeter l'argent par la fenêtre pour faire de la propagande.  [message édité par MadlyMad le 23/07/2009 à 15:29
]
http://www.carrefour...cherche?crText= quelle honte ! je me demande combien carrefour à payé pour son site quand on voit ce genre faille ! inadmissible pour des "professionnelles" !
lol vous vous excitez pour ce genre de faille ?
moi je vois .ASP dans l'url et rien que ca, ca explique ENOREMENENT ! un mec qui sait pas programmer peut sans probleme faire un site en ASP (normal tout est visuel) moi perso ce qui m'étonne, c'est qu'on puisse tomber dans le panneau et donner des contrats à des boites qui se pensent bon (tout ce qui existe peut etre optimisé ?) alors qu'ils sont incompétant ! Non mais sérieusement ... entre les ministres qui acceptent de payer plusieurs dizaines voir centaines de milliers d'euro pour un site fait en 1 semaine maxi et administré par des incompétents on va pas me dire que chez carrefour (ou encore à l'état) ya aucun informaticien un peu compétant pour lui demander si tel ou tel prestataire à l'air serieux ?!? au pire il peuvent faire appel à un consultant serieux, qui lui verifie si c'est potentiellement acceptable ! 
Voici le résultat qu'on obtenait hier concernant la condamnation pour avoir versé des salaires inférieurs au SMIC ( article du nouvelobs ):
Preuve de l'amateurisme d'un gouvernement qui joue en plus avec nos libertés, c'est extrement grave !
http://209.85.129.13...r&ct=clnk&gl=fr
Une petite page disparue du site pour les proteger CreaYouz... En faite c'est tres marrant tout ca 
Olecore, excuse-moi si je ne capte pas mais le Leclerc d'Agen, c'est toi ou c'est plus haut ou dans un autre fil ? Le Hack, c'est quoi ? C'est le "cliquez ici et c'est livré" ? C'est sur le site de Leclerc ? Ma curiosité tient au seul fait que je ne suis pas très loin, c'est tout (et accessoirement je te demanderai de me donner des cours si c'est bien toi !!! Vive la "pédagogie" Hadopi Mdr ,;o) 
Quand on voit le nombre de banques, plus le ministère des affaires étrangères qui sont chez eux, ça fait peur. 
Extelia étant une filiale de la poste, je pense que je vais prendre rdv avec mon conseiller financier pour lui dire que je quitte la banque postale à cause de l'investissement du groupe la poste dans l'hadopi. Si tous les sympatisants anti-hadopi qui ont un compte à la poste font de même, ça pourrait peut-être avoir un impact fort !!!
Si la faille est si grave que ça, c'est inquiétant qu'elle existe également chez Valve ?
http://alturl.com/9mme [message édité par Timekeeper le 26/07/2009 à 13:57
]
Si le gars qui a fait cette blague à Carrefour a du mal à trouver des jobs, c'est peut-être parce que les sélectionneurs lui font passer un test d'orthographe ? Dommage qu'on ne lui fasse pas passer aussi un test de créativité, car là il aurait été bon !
L'orthographe de ce geek laisse à désirer effectivement en dépit d'une certaine créativité.
A lire aussi cette synthèse sur ce coup d'intox : http://livres-intern...e-34151836.html
De toutes façons il faut aller le moins possible faire ses achats chez carrefour...Préfèrez caniso !!!
Euh, là non plus c'est pas bien d' y aller...Bon bah j'irai ailleurs ! ;-))
Cherchez sur Carrouf et puis sur ooshop (leur service de livraison à domicile ) : 'augmentation de salaire' et vous obtiendrez :
"Aucun produit ne semble correspondre à votre recherche. Soit nous ne vendons pas aujourd'hui ce type de produits sur le site. Ou vous avez fait une faute de frappe, cliquez alors sur la ou les propositions suivantes : AUGMENTATION AUGMENTATION DESALAIRE DELIRE DESIR DELAI DELA DESERT " pas mal non ? hélas pour les employés,le robot a bien choisi les mots ! et y a pas de hack là-dessous en plus !
Oh ça marche aussi avec "démission du patron" :
En tôôôôôle les grands patrons, Arlette, revieeeeent, les moteurs de recherche sont avec toi !  [message édité par Timekeeper le 27/07/2009 à 16:56
]
Tous les champs doivent être remplis. Tous les champs doivent être remplis. Tous les champs doivent être remplis. |
Votre emploi informatique avec
   A LA UNE
LES + COMMENTÉS
 Télécharger
ip,
ultrasurf,
libreoffice,
navigateur web firefox,
pro evolution soccer,
navigateur web pdf,
ground control,
total video converter,
Accès rapide :
Communication |
Encoder ou convertir |
Personnalisation |
Diagnostic |
eMule (et mods eMule) |
Photo numérique |
Outils Réseau |
|
