Faille de sécurité pour CDiscount

Publié le 21-09-2006 dans le thème Réseau - Sécurité

Pays : France - Auteur : Damien Bancal

Pub : CA Anti-Virus 2007 - Protection exhaustive contre l’intrusion de virus!

Note des lecteurs: 1.8/5

Nous recevons, souvent, à la rédaction, des courriels nous questionnant sur les dangers de la faille XSS (CSS) Cross Site Scripting. Voici un exemple très concret !

Une faille, chez CDiscount, permettait de dérober le cookie de connexion des clients ! Le "bug" a été découvert par un white hat marocain, Reda Cherqaoui, connu sous le pseudo de Daftrix. La faille exploite un XSS, un Cross Site Scripting, dans une partie de ce site de e-commerce français appartenant au groupe Casino.

Le danger, pour les quatre millions de clients utilisateurs de ce site, était qu'un pirate puisse intercepter le cookie de connexion et donc, se faire passer pour le véritable client.

Automatisation !
Comment un pirate, à distance, peut-il intercepter des données se trouvant dans la machine d'un autre internaute ? Simple, trop simple même. Nous ne donnerons pas la solution. ZATAZ.COM Journal n'a pas pour mission de fournir ce genre d'élément. Mais sachez qu'une page piégée en PHP, couplée à un code Java Script, et le tour est joué. Voir notre démonstration, en vidéo, qui prouve qu'un cookie, pouvant contenir les données de connexions d'un internaute, peut-être très rapidement volé. (Il est inutile de nous réclamer le code de cet exploit, NDR)

Conseil !
Nous ne pouvons que vous conseiller de refuser toutes connexions à un site web tiers (Adresse qui peut vous être proposée par MSN, ICQ, IRC, ..., NDR) lors de l'utilisation d'un site employant le cookies comme mode d'identification. Il est plus que conseillé de vider, après chaque visite, votre dossier cookies.

Pour revenir à CDiscount, les responsables du site ont été contactés par nos soins, via le biais de l'attaché de presse en charge de ce produit. L'alerte est donc parvenue, normalement, jusqu'aux oreilles des responsables techniques.