|
|
Carrefour, client d'Extelia, victime collatérale de l'Hadopi
Guillaume Champeau -
publié le Jeudi 23 Juillet 2009 à 11h59 -
posté dans Société 2.0
Il ne fait pas bon être prestataire autour de l'Hadopi. L'hébergeur du site de propagande du ministère de la culture s'en souvient encore. La société Extelia, filiale de la Poste choisie par le ministère de la Culture pour mettre en oeuvre la gestion des avertissements et sanctions de l'Hadopi, fait le bonheur des hackers en herbe. Elle a dû ajouter en urgence quelques rustines à son site Internet mercredi, après que des failles de sécurité ont été dévoilées qui permettaient d'accéder notamment au fichier d'abonnés de la newsletter d'Extelia ou de modifier ses pages. Des failles particulièrement risibles lorsque l'on sait que l'Hadopi devra sanctionner les abonnés à Internet qui ne sécurisent pas suffisamment bien leur accès à Internet. Ou effrayantes lorsque l'on voit que la société gère aussi des services de vote électronique. Mais les clients d'Extelia risquent de beaucoup moins apprécier l'humour. Carrefour, l'un des principaux (si ce n'est le principal), utilise les mêmes scripts non sécurisés mis en place par le prestataire. Sans surprise, il a été hacké. "Je suis chômeur, je ne suis pas programmeur de métier, juste un graphiste, qui a pondu une ligne de code et un jpg a la vavite", nous indique un lecteur qui a utilisé les failles du site de Carrefour. "J'en ai marre de me faire "voler" des jobs par de simples stagiaires payés au rabais, pour ensuite tomber sur des bouses infâmes qui sont bourrées de failles, et tout moches". On lui laissera la responsabilité de ses propos... Le hack, en tout cas, a donné des idées à notre plaisantin. Il propose d'acheter des logiciels de sécurisation labellisés par l'Hadopi sur le site de Carrefour :
à lire aussi
  Prix indiqués avec livraison
74
Commentaires à propos de «Carrefour, client d'Extelia, victime collatérale de l'Hadopi»
Répondre
gofer_
le 23/07/2009 à 13:02
C'est dommage que les phrases des descriptifs des produits soient truffées de fautes, ils étaient drôles.
 En même temps, ce genre de "faille" est aussi intéressante que de faire un photo-montage... Ca permet juste de faire afficher des "choses" pour soi, pas de modifier le site à la vue de tous. Oui et non. Là c'est parce que c'est "gentil". Mais la faille peut être exploitée pour exécuter des scripts beaucoup plus dangereux.En fait on pourrait imaginer renvoyer un internaute vers cette page piégée, et au lieu d'y insérer une image, un script renvoyant le cookie de l'utilisateur vers la personne malveillante. Celui-ci pourrait alors utiliser le cookie pour réaliser des opérations sur votre compte par exemple. En détail ici : http://fr.wikipedia...._site_scripting  En même temps, ce genre de "faille" est aussi intéressante que de faire un photo-montage... Ca permet juste de faire afficher des "choses" pour soi, pas de modifier le site à la vue de tous. Oui et non. Là c'est parce que c'est "gentil". Mais la faille peut être exploitée pour exécuter des scripts beaucoup plus dangereux.En fait on pourrait imaginer renvoyer un internaute vers cette page piégée, et au lieu d'y insérer une image, un script renvoyant le cookie de l'utilisateur vers la personne malveillante. Celui-ci pourrait alors utiliser le cookie pour réaliser des opérations sur votre compte par exemple. En détail ici : http://fr.wikipedia...._site_scripting
Certes, mais la cible des vilains pirates n'est pas vraiment l'internaute lambda je pense (dans le cas du terrorisme contre ce projet de loi à la con). Mais bon, en cherchant, on fini toujours par trouver En fait on pourrait imaginer renvoyer un internaute vers cette page piégée, et au lieu d'y insérer une image, un script renvoyant le cookie de l'utilisateur vers la personne malveillante. Celui-ci pourrait alors utiliser le cookie pour réaliser des opérations sur votre compte par exemple. En détail ici : http://fr.wikipedia...._site_scripting Certes, mais la cible des vilains pirates n'est pas vraiment l'internaute lambda je pense (dans le cas du terrorisme contre ce projet de loi à la con). Mais bon, en cherchant, on fini toujours par trouver  Tu peux également envoyé le client via un lien sur une page où on lui demande son login/password de son compte carrefour ou même plus grave, envoyer un mail via une campagne de fishing, ou tu redirige vers une page vérolé où tu récupère les infos de la carte PASS par exemple, et là en plus le site qui apparait est vraiment celui de carrefour avec dedans ton formulaire pirate...  Je viens de voir qu'ils font aussi dans le payement électronique. Ne devrait-on pas informer leurs clients voire même les députés avant qu'une catastrophe ne se produise. Sait-on jamais!
Oh Punaise, je viens de voir que la Banque Populaire est un client et c'est ma banque. Désolé mais faites pas les c* avec mon compte. Il y en a qui sont plus garnis.que le mien.  extelia risque de prendre cher vis a vis de ses clients. je ne pense pas que des clients comme carrefour aime la mauvaise pub
 +1 scott512
J'avais commencé à faire un joli ptit login sur expedia mais j'ai abandonné, la piraterie devenait trop sérieuse. Je suis terrifié de découvrir que la malédiction Hadopi qui poursuivait les politiques jusqu'à maintenant est en train de toucher aussi tous ceux qui circulent à côté comme cette boîte; et encore d'autres.
La Malédiction d'Hadopi, c'est une vraie pieuvre.  Si les administrateur pouvaient mettre un lien vers cet ouvrage : http://www.ilv-editi...democratie.html
Il est sous licence libre et parle du vote électronique. plus particulièrement pourquoi certains sont pressés de le mettre ne place (qui a dit l'UMP ?). Chose amusante, il y a quelque temps, quand j'étais en cour, un prof a demandé qui faisait confiance au vote éléctronique. J'ai fait une école d'éléctronique/informatique/réseau/traitement de signal en fonction des options choisies. Des gens pour la plupart pro technologie donc, et plutôt sensibilisés au sujet. Deux se sont prononcé pour. Pour ma part, ce qui m'inquiète dans les failles trouvés sur ces sites, c'est que c'est qu'elles sont béantes. Elles relèvent d'un incompétence crasse. Tout lycéen ayant suivis les tutoriel du site du zéro par exemple est capable de les éviter.  En tout cas chez Extelia il y a plusieurs trucs qui marche plus , la news letter qui renvoi sur une page de merde sans css ni rien, le moteur de recherche qui recherche plus rien. Je continue a farfouiller
Et en plus, c'est des ingrats. Ils ont une page répertoriant les articles sur eux parus dans la presse et rien sur Numérama qui leur a déja consacré plusieurs articles.
en fait Extelia qui accepte l'appel d'offre epublic pour devenir la milice privée chasseresse de mechants internautes n'ayant pas securisé leur reseau et qui s'etonnent de venir se faire percuter pour verifier leur sécurité a eux ca me fait un peu penser à une nana qui minauderait "aaah non hors de question qu'on me sodomise !" pendant qu'elle verserai toutun tube d elubrifiant sur son anus
Ouais mais le fait de pouvoir exécutée du code extérieur par un moteur de recherche sous entend qu'il y a une failli critique sous-jacente. Certain peuvent l'exploiter. En même temps, ce genre de "faille" est aussi intéressante que de faire un photo-montage... Ca permet juste de faire afficher des "choses" pour soi, pas de modifier le site à la vue de tous. Oui et non. Là c'est parce que c'est "gentil". Mais la faille peut être exploitée pour exécuter des scripts beaucoup plus dangereux.Qui s'exécutent ... dans le navigateur de l'attaquant, et non sur le serveur. Si c'était le cas, le site serait déjà down bah non, c'est un moteur de recherche. La page dit "nous n'avons trouvé aucun résultat pour En même temps, ce genre de "faille" est aussi intéressante que de faire un photo-montage... Ca permet juste de faire afficher des "choses" pour soi, pas de modifier le site à la vue de tous.
Fau, c'est une belle forme de phishing bien moins aisée à détecter pour qui ne fait pas gaffe Je salut le fond de cette intervention. Par contre pour ce qui est de la forme, faire des fautes dans un commentaire écrit à l'arrache c'est pas top. Par contre faire des fautes dans un truc aussi bien fait, je trouve que ça fait tache. Tout du moins pour un visiteur du site de carrefour qui n'est pas habitué au net et qui n'est pas au courant de ce qui se passe il est difficile de prendre ca au sérieux quand il y a de telles fautes de grammaire et d'orthographe.
Il doit aussi etre possible de recuperer des informations dans la base de données pour peu qu'il n'y en ai qu'une pour tout le site, apres il suffit d'avoir du bol dans le nom des tables !
|
A LA UNE
LES + COMMENTÉS
 Télécharger
my torrent client,
virtualgirl hd,
online tv adult,
vdownloader mac,
emule islande,
torrent,
windows live messenger,
voissa anonymo,
Accès rapide :
Personnalisation |
Diagnostic |
eMule (et mods eMule) |
Photo numérique |
Outils Réseau |
Codecs et plugins |
Nettoyeurs |
|
