|
|
Sécurité : négligence caractérisée à la Sacem ? (MAJ)
Guillaume Champeau -
publié le Jeudi 27 Mai 2010 à 01h00 -
posté dans High-Tech
Article du 26 mai 2010 - Pourra-t-on accuser la Sacem de négligence caractérisée dans la protection de son site internet ? Le magazine spécialisé dans la sécurité informatique Zataz rapporte qu'une faille de type XSS (Crosse-site scripting) a été découverte sur le site de la SACEM, sur l'espace où se connectent les sociétaires auteurs, compositeurs ou éditeurs de musique. Les failles XSS sont selon la définition qu'en donne Wikipedia "un type de faille de sécurité des sites Web, que l'on trouve typiquement dans les applications Web qui peuvent être utilisées par un attaquant pour provoquer un comportement du site Web différent de celui désiré par le créateur de la page (redirection vers un site, vol d'informations, etc.)". Il s'agit de profiter d'un formulaire non sécurisé pour envoyer au site un script qui sera interprété par le serveur comme s'il émanait du site lui-même. Ce script peut être inclut directement dans une URL aux apparences légitimes (du type https://login.sacem.fr/...), sur laquelle cliqueront les victimes. Il peut permettre d'afficher un autre contenu sur la page ciblée, et d'intercepter par exemple les login et mot de passe des adhérents de la Sacem. La page à laquelle on accède par un serveur SSL censé garantir sa sécurité donne accès au catalogue des oeuvres déposées à la Sacem, aux feuillets de répartition des droits, et probablement aux informations personnelles qui permettent à l'organisation de verser aux auteurs les sommes qui leur sont dues. Le risque d'une interception des données de connexion est d'autant plus embêtante que la Sacem précise que "toutes actions sur www.sacem.fr avec ces codes d'accès sont considérées avoir été opérées par la personne à laquelle la Sacem les a délivrées". "Les enregistrements informatiques de ces actions, ou leur reproduction sur un support informatique ou papier, feront foi entre les parties". à lire aussi
 Prix indiqués avec livraison
21
Commentaires à propos de «Sécurité : négligence caractérisée à la Sacem ? (MAJ)»
 C'est quoi cet Internet Exploiteur 7 à la barre d'outils monstrueuse ?
 N'empêche, la SACEM... Elle ferait mieux de réaliser des audits de sécurité du site plutôt que verser son 25e mois au président dès le mois de Juin...  des failles y'en a partout meme si celle la est particulierement simple ... jsuis qu'on en trouve ici sans trop se foulé non plus ...
 On est d'accords. Au lieu de carburer à 20000 euros par cadre et de s'offrir des vacances dans les îles sur le dos des gens qui bossent VRAIMENT, ils feraient mieux de se sortir les doigts du cul et d'engager une vraie boîte d'infogérance pour s'occuper de leur site.
Sauf que Numerama (contrairement à Zataz ou aux gens qui laissent des commentaires ici) n'est pas un donneur de leçon. Par ailleurs, ne peut-on pas juste tous tomber d'accord qu'il est bien plus grave qu'un site comme la SACEM soit mal sécurisée plutôt qu'un site comme Numérama ?
 Il y a certainement des failles de securité sur numerama, mais à la difference de la sacem Numerama ne gere pas "d'argent", c'est juste un site d'information. De plus la sacem a surement plus de chance d'etre dans le colimateur des hackers que Numerama.
 Goldoark, le 26/05/2010 - 16:52 On est d'accords. Au lieu de carburer à 20000 euros par cadre et de s'offrir des vacances dans les îles sur le dos des gens qui bossent VRAIMENT, ils feraient mieux de se sortir les doigts du cul et d'engager une vraie boîte d'infogérance pour s'occuper de leur site.Ah ha ha, oui mais non, la s a c e m se fout complètement de la sécurité de sons site, tout comme elle se fout de ses ' clients ' que sont les Artistes, à part peut être les plus ' gros ', mais ceux là ne se connecteront pas pour savoir si ils vont toucher quelque chose... Ils le savent déjà... Sauf que Numerama (contrairement à Zataz ou aux gens qui laissent des commentaires ici) n'est pas un donneur de leçon. Par ailleurs, ne peut-on pas juste tous tomber d'accord qu'il est bien plus grave qu'un site comme la SACEM soit mal sécurisée plutôt qu'un site comme Numérama ?
Exact tout site qui manipule des données sensibles se DOIT d'avoir une sécurité a la hauteur. Je ne dis pas absolue car c'est impossible mais bien a la hauteur car contrairement a numerama ici on parle pour la SACEM d'information particulièrement sensibles qui peut avoir de graves conséquences si elles sont mal utilisées ou tombent entre de mauvaises mains.  la sacem c'est quoi ça? Ca veut dire quoi ces lettres? C'est pas?
Sodomisation des auteurs, compositeurs et éditeurs de musique?  Arkados, le 26/05/2010 - 16:48 C'est quoi cet Internet Exploiteur 7 à la barre d'outils monstrueuse ? N'empêche, la SACEM... Elle ferait mieux de réaliser des audits de sécurité du site plutôt que verser son 25e mois au président dès le mois de Juin... +1 !   Encore un bel exemple de la répartition des tâches. Un pauvre type payé au lance pierre doit se démerder pour réussir à maintenir ce genre de site alors qu'il n'en a pas les moyens et d'autres s'en vont prendre des vacances sur leurs dos ... et qui se fera virer pour faute professionnel? ...
Bloquer les failles XSS est tout de même le niveau à peine au dessus du "geek qui apprend le PHP"
Il y a 1000 façon très simples de les bloquer que se soit via l'interdiction dans le php.ini ou les valeurs locales apache d'ouvrir des document distants (interdire dans le fopen, include, require d'appeler une URL en fait...) d'autres en prenant de bonnes habitudes de programmation et ne jamais mettre une variable dans un appel de script ou de fichier (on utilise pas de variable dans fopen, include, require etc...) d'autres en effectuant un contrôle manuel de la ressource à ouvrir (une vérification de chaîne qui interdit les URL, un contrôle de l'existence du fichier sur le système de fichiers local avec file_exists() par exemple) ou encore en passant l'appel de ressource dans un switch qui n'autorise que des valeurs prédéfinies pour charger un script (un filtre en fait, utile lorsque l'on attend que certaines valeurs dans une variable) Il y a encore l'utilisation explicite des variables qui proviennent soit d'un header POST soit d'un header GET qui ralenti ceux qui s'amusent avec les URL, ou le rewriting qui masque les variables dans l'URL, bon la c'est plutôt de l'obfuscation ça n'arrête pas un hacker aguerrit mais ça évite de donner des info sur la structure de son programme... Et j'imagine même pas les plus parano qui iront interdire les connections HTTP sortantes sur leur serveur via une config plutôt musclée du firewall ou qui iront peut être virer les options fopen-wrappers lors de la compilation de PHP Enfin ne pas se pencher ne serais-ce que 5 minutes sur ce type de failles qui se comble en activant quelques options de sécurité sur PHP (register_globals off et autres c'est quand même du recommandé sur PHP.net) c'est pas de l'incompétence c'est limite de la négligence caractérisée ! Sauf que c'est pas du php deriere, mais du java....Et leur serveur c'est pas apache.
Sinon, pour avoir travaillé avec eux, je peux vous dire qu'ils sont pourant parano avec la securité... (ca me fait toujours marrer...lol)  Ca c'est le genre d'info qui me fait rire et pester !
Nous, pôvres internautes lambda on nous demande d'être nickel, tant sur notre connexion internet (négligence caractérisée) que sur notre comportement sur ce même internet (droits d'auteurs, etc...). Et tous les donneurs de leçons (gouvernement, majors, etc...) eux y font rien que de se faire prendre dans ces mêmes filets !  xtremlimit, le 27/05/2010 - 00:36
Et tous les donneurs de leçons (gouvernement, majors, etc...) eux y font rien que de se faire prendre dans ces mêmes filets !D'autant qu'ils sont entourés de spécialistes très cons pétants...
|
A LA UNE
LES + COMMENTÉS
 Télécharger
windows 7 gratuit,
online tv adult,
my torrent client,
ultrasurf,
redtube video downloader,
passion,
index php,
restauration msn messenger,
Accès rapide :
Communication |
Encoder ou convertir |
Personnalisation |
Diagnostic |
eMule (et mods eMule) |
Photo numérique |
Outils Réseau |
|
http://www.numerama....eux-hacker.html
le XSS et le PHP contiennent 80% des failles à eux 2.
La quasi-totalité des sites ont des failles de ce type, Numerama inclu.
Maintenant, il fait voir de QUELLE faille il s'agit, c'est ça l'important. Est-ce une faille bien chiadée ou une faille de gros n00b ?
Après à ce niveau là c'est quand même un peu des n00bZ...