Victime de l'exploitation massive et pas toujours humoristique d'une faille XSS qui permettait d'injecter du code sur son site, JeuxVideo.com a décidé de poursuivre en justice ceux de sa communauté qui s'étaient un peu trop amusés entre samedi soir et dimanche midi.

Le site JeuxVideo.com dont le forum est extrêmement fréquenté par les adolescents et les jeunes adultes s'est offert une mauvaise publicité le week-end dernier, dans la nuit du 22 au 23 août et jusqu'à la mi-journée de dimanche, après que des internautes ont découvert qu'il était possible de profiter d'une faille XSS dans le formulaire de saisie de commentaires et de messages sur les forums pour remplacer des images du site par d'autres, y compris sur la page d'accueil.

"Il était possible d'injecter du code, par exemple une balise <style> (qui permet ensuite de placer du code CSS) en écrivant dans un post quelque chose comme [[m:<style>]]. La communauté, immense et très dissipée de jeuxvideo.com, s'en est servi pour changer le fond de topics en mettant des images amusantes ou pour afficher du texte en gros et gras caractères", nous explique un membre du site. "D'autres sont allés plus loin, en injectant le code dans les commentaires des news de la page d'accueil, transformant celles-ci en images drôles, floutant la page, ou la faisant tournoyer."

Mais les jeunes étant ce qu'ils sont, c'est-à-dire pas toujours très subtiles ni très intelligents, une petite minorité d'entre eux a exploité la faille pour afficher des images qui n'étaient plus drôles, comme la majorité, mais choquantes voire carrément illicites. Y compris, selon de nombreux témoignages réfutés par la direction du site, des images pédopornographiques.

Un sujet complet a alors été diffusé sur au journal télévisé de M6, ce qui n'est jamais bon pour l'image de marque vendue aux annonceurs :

En conséquence du sabotage et de sa grande visibilité, JeuxVideo.com a annoncé qu'il portait plainte contre des internautes ayant exploité la faille XSS. Le site a établi une liste des adresses IP et des pseudonymes, avec le nombre de messages postés et le code injecté, a priori sans distinguer s'il s'agissait de lolcats et autres détournements amusants, ou d'images que la loi comme la morale réprouvent.

JeuxVideo.com précise néanmoins que cette liste, gardée secrète, "ne contient que les personnes qui ont utilisé le code pour remplacer une ou plusieurs pages des contenus ou des forums par une image", que "nous visons seulement les personnes qui ont empêché l'accès à une ou plusieurs pages".

"C'est ensuite à la justice de donner suite ou pas à cette affaire et de (par exemple) ne taper que sur ceux qui ont posté le plus de messages contenant le code", prévient-il.

"Pour information, la condamnation devant le tribunal correctionnel ainsi que l'exécution d'une composition pénale entraînent une inscription au casier judiciaire", assume JeuxVideo qui informe ses membres des conséquences possibles de la plainte pour chacun d'entre eux.

"AUCUN SITE INTERNET NE PEUT SE TARGUER D'ETRE 100 % SÉCURISÉ"

Le flou qui entoure la liste est évidemment propice à la paranoïa et aux craintes légitimes. "Les seuls épargnés par la liste semblent ceux qui ont mis du texte en gras, mais pas ceux qui ont changé le fond des topics par des images par exemple, distinction assez incompréhensible et injuste", dénonce ainsi un lecteur. Un internaute qui avait mis en place un script pour se substituer aux équipes techniques de JV.com et remettre systématiquement les bonnes images en place, craint lui-même d'être poursuivi, même si les risques de condamnation sont dans quasi nulles compte tenu de sa bonne foi.

Les tribunaux devraient se montrer tolérants à l'égard des jeunes concernés, sauf pour ceux qui ont diffusé les images les plus graves. Mais comme le fait remarquer notre lecteur, "le simple envoi d'une lettre au domicile des parents, avec à l'intérieur mention de leur pseudo débile style "VaginMaternel" avec lequel ils ont l'habitude de faire les traditionnels trolls made in JVC sera difficile à expliquer et à assumer dans le contexte de la réalité".

JeuxVideo.com, en tout cas, refuse d'assumer la responsabilité du piratage du fait de la faille XSS qu'il n'avait pas détecté et corrigé plus tôt. "Sachez qu'aucun site internet ne peut se targuer d'être 100 % sécurisé. Certes, nous avons des lacunes et nous essayons d'ailleurs de les corriger (l'audit nous donne déjà quelques pistes), mais ce n'est pas parce qu'une infraction peut être commise que cela dédouane leurs auteurs de leur responsabilité", rappelle ainsi Superpanda, administrateur du site.

C'est aussi l'avis de Rachida Dati, qui avait emporté la conviction de la justice dans une affaire de faille XSS exploitée pour la ridiculiser.

Partager sur les réseaux sociaux

Plus de vidéos