Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog

Un problème pourrait permettre à un pirate informatique de mettre en place un piège informatique sur les sites des deux enseignes. En cette période de fin d’année, ou les achats en ligne se font aux kilomètres, les pirates ne sont pas avares de mauvaises intentions pour tenter de mettre la main sur les données des potentiels acheteurs.

 

  ZATAZ.COM a pu constater deux vulnérabilités dans le code de deux importantes enseignes de la grande distribution française : Leclerc [haided 1786] et Carrefour Voyages [haided 1787]. La faille, dans les deux cas, un XSS (Cross-Site Scripting). Une vulnérabilité qui ne concerne en rien les données bancaires et la base de données des cyber boutiques. A noter que le protocole d’alerte de zataz.com a été lancé afin de faire corriger les « choses ». Pour que l’attaque soit efficace, il faut que le pirate puisse mettre plusieurs facteurs en action : réaliser un faux courriel aux couleurs des magasins (un détail dans le petit milieu des amateurs de phishing, ndlr zataz.com) ; réaliser une fausse page (facile pour les escrocs, ndlr zataz.com). Il n’a plus qu’a réaliser une adresse web avec son code XSS piégé.

 

Pour rappel, un XSS est à prendre très au sérieux. Cette faille permet d’afficher n’importe quel message dans l’espace numérique visé (Comme dans nos captures écrans, NDLR ZATAZ.COM). Un pirate peut aussi injecter un logiciel (trojan, virus…) dans la machine d’un visiteur ; ou de jouer avec un XSS backdoor (le pc ainsi infiltré se transforme en zombie, aux ordres du pirate, ndlr zataz.com). Il faut cependant que le pirate formule un url particulier, qu’il diffusera ensuite à ses cibles, via un courriel, un message sur un forum, un post, sur Facebook, Twitter…

Attention, nous ne fournissons pas les adresses dans cet article pour éviter, le temps de la correction, des utilisations malveillantes. il est a noter, cependant, que pour le cas de E.Leclerc, l’attaque peut s’effectuer à partir d’une adresse httpS, le S indiquant Sécurisé. Un détail qu’un pirate pourrait mettre en avant dans sa tentative malveillante.

Source: www.zataz.com

Tag(s) : #REVUE DE PRESSE

Partager cet article

Repost0
Pour être informé des derniers articles, inscrivez vous :