Mise à jour : la Sacem nous fait savoir que « bien qu’elle n’ait constaté aucune intrusion dommageable, elle a temporairement suspendu l’accès à cet espace réservé à ses sociétaires, afin de procéder à une vérification et à d’éventuelles actions correctrices« . L’accès doit être ré-ouvert rapidement.

Article du 26 mai 2010 – Pourra-t-on accuser la Sacem de négligence caractérisée dans la protection de son site internet ? Le magazine spécialisé dans la sécurité informatique Zataz rapporte qu’une faille de type XSS (Crosse-site scripting) a été découverte sur le site de la SACEM, sur l’espace où se connectent les sociétaires auteurs, compositeurs ou éditeurs de musique.

Les failles XSS sont selon la définition qu’en donne Wikipedia « un type de faille de sécurité des sites Web, que l’on trouve typiquement dans les applications Web qui peuvent être utilisées par un attaquant pour provoquer un comportement du site Web différent de celui désiré par le créateur de la page (redirection vers un site, vol d’informations, etc.)« .

Il s’agit de profiter d’un formulaire non sécurisé pour envoyer au site un script qui sera interprété par le serveur comme s’il émanait du site lui-même. Ce script peut être inclut directement dans une URL aux apparences légitimes (du type https://login.sacem.fr/…), sur laquelle cliqueront les victimes. Il peut permettre d’afficher un autre contenu sur la page ciblée, et d’intercepter par exemple les login et mot de passe des adhérents de la Sacem.

La page à laquelle on accède par un serveur SSL censé garantir sa sécurité donne accès au catalogue des œuvres déposées à la Sacem, aux feuillets de répartition des droits, et probablement aux informations personnelles qui permettent à l’organisation de verser aux auteurs les sommes qui leur sont dues.

Le risque d’une interception des données de connexion est d’autant plus embêtante que la Sacem précise que « toutes actions sur www.sacem.fr avec ces codes d’accès sont considérées avoir été opérées par la personne à laquelle la Sacem les a délivrées« . « Les enregistrements informatiques de ces actions, ou leur reproduction sur un support informatique ou papier, feront foi entre les parties« .

Partager sur les réseaux sociaux

Articles liés