Publié le 30-04-2012 à 02:29:51 dans le thème Banque

Pays : France - Auteur : Damien Bancal

Pub : Tous les logiciels antispyware gratuits disponibles sur Internet

INFO ZATAZ - Une possibilité malveillante vise un espace numérique de la banque LCL. Une possibilité malveillante a été découverte dans l'un espace numérique de la banque Français LCL. Une vulnérabilité de type XSS (Cross-Site Scipting) qui est à prendre très au sérieux. Cette faille permet d'afficher n'importe quel message dans l'espace numérique visé. Un pirate peut aussi d'injecter un logiciel dans la machine d'un visiteur ou de lancer un XSS backdoor. Il faut cependant que le pirate rédige un url particulier, et qu'il diffuse l'adresse modifiée à ses cibles. C’est pour cela que ZATAZ.COM a envoyé un protocole d'alerte à la banque, et vous déconseille fortement de cliquer sur le moindre lien provenant d'une source autre que la LCL. [HaideD 1457]

XSS Backdoor
Le cross-site Scripting est un type de faille de sécurité très commun. Il se trouve typiquement dans les applications Web. Mission de cette "attaque", provoquer un comportement du site Web différent de celui désiré par le webmaster (redirection vers un site tiers, vol de cookies ...). Une attaque qui peut aussi permettre d'exploiter une XSS de manière à ce que le cross-site Scripting offre la possibilité d'installer un Shell (comme une injection SQL). Bilan, d'un simple XSS, le pirate se retrouve avec une puissante backdoor (porte cachée, NDLR ZATAZ.COM) et autre gestionnaire de zombie. Ce premier concept a été présenté par XSS-Proxy. Normalement, les attaques XSS ne se font qu'en un coup, avec l'outil XSS+Shell, le pirate peut envoyer une demande interactive. Il obtient ainsi des réponses de la victime. La page exploitée se transforme en backdoor. Le pirate peut voler les authentifications, contourner les restrictions d'IP's dans les panneaux d'administration, lancer des DDoS (Dénis de Services Distribués, NDRL ZATAZ.COM) sur certains systèmes avec une vulnérabilité XSS permanente. Les possibilités d'attaques sont quasiment illimitées.

Avec un XSS 'normal', une fois l'utilisateur hors des champs d'actions de la page "modifiée", le pirate  ne peut plus agir. La principale caractéristique de XSS+Shell est la 'Page Régénération'. Bilan, la victime se retrouve dans un environnement 'Virtuel Backdoor'. Ainsi, même si l'utilisateur clique sur les liens dans la page infectée, il sera toujours sous le contrôle du pirate via ce XSS Tunneling !

Mise à jour : Efficace et rapide, les équipes de la LCL ont pris l'alerte et corrigé la faille.

Tweet

Le XSS Twitter fait encore des dégâts

19-05-2013 à 10:10 - 0 commentaire(s)

Plusieurs comptes Twitter du journal Financial Times piratés par la Syrian Electronic Army.

Big Brothers Awards, le 26 juin 2013

19-05-2013 à 00:56 - 0 commentaire(s)

Privacy France présente la 11ème édition des Big Brothers Awards le 26 juin 2013 à la Parole Errante à à Montreuil.

Cisco corrige une faille... en fait non !

18-05-2013 à 17:59 - 0 commentaire(s)

Un jeune internaute de 14 ans aide Cisco à corriger une faille. Cisco corrige... à moitié !

Opération anti Anonymous en Italie

18-05-2013 à 17:18 - 0 commentaire(s)

La police italienne a lancé l'opération Tango Down à l'encontre d'internautes soupçonnés d'avoir piraté des sites gouvernementaux sous la signature d'Anonymous.

Les Anonymous veulent libérer l'Internet Belge

18-05-2013 à 17:05 - 0 commentaire(s)

Des hacktivistes, sous la bannière Anonymous Belgium, annoncent vouloir libérer le web royal le 15 juin prochain.

Microsoft espionnerait-il via Skype ?

18-05-2013 à 16:59 - 0 commentaire(s)

Le rachat de Skype par Microsoft est-il un moyen pour l'Oncle Sam de pouvoir espionner les utilisateurs de l'outil de téléphonie via Internet ?

Un loup, des mules et des pigeons

18-05-2013 à 16:50 - 0 commentaire(s)

Contrat de travail, salaire... mais derrière cet emploi Internet proposé sous le nom de la marque Roche Bobois se cache une arnaque.

Spieldberg parle du piratage de film

15-05-2013 à 12:59 - 0 commentaire(s)

Pour le réalisateur américain Steven Spielberg, président du jury du festival de Cannes, le Piratage est une artère tranchée.

Piratage BitCoin... again !

Nouveaux piratages dans le petit monde de Bitcoin. Cette fois, de l'argent a bien disparu.

L'auteur du cheval de Troie Carberp tombe de selle

Le pirate informatique derrière le cheval de Troie Carberp arrêté. 20 complices aussi ...

Piratage de données bancaires, les arrestations s'enchaînent

Les arrestations chez les pirates Français de données bancaires s'enchaînent... les piratages aussi !

Les sénateurs Français rejettent 3D Secure

Les Sénateurs Français viennent de rejeter un amendement qui devait imposer une sécurité efficace lors des transactions sur Internet.

Actions contre des pirates de données bancaires

Vingt deux personnes arrêtées, ce matin, dans une vaste opération contre des pirates de cartes bancaires.

Piratage d'un site de la Banque Populaire

Un espace de l'entreprise bancaire Banque Populaire piraté. Le pirate installe une page dans l'enceinte numérique bancaire.

Piratage de distributeurs de billets

Plusieurs pirates informatiques arrêtés, à Paris. Ils sont suspectés d'avoir attaqué plusieurs distributeurs de billets de la capitale.

Clavier virtuel bancaire : Faille pour Internet Explorer

Une vulnérabilité permet à un pirate informatique de suivre le curseur de la souris, même si la fenêtre IE est inactive.

Réagissez à ce contenu