Publié le 12-01-2007 dans le thème Réseau - Sécurité

Pays : France - Auteur : Damien Bancal

Pub : CD + DVD vierges - TV + Hifi. Cartouches d'encre - Console de jeux

Plusieurs failles chez le FAI Neuf Télécom pourraient permettre à un pirate de piéger n'importe quel compte client en quelques clics de souris.

Les premieres failles, deux redirections possible, via des liens officiels de la société, vers des pages web exterieures. Un pirate informatique pourrait tout simplement réaliser un site Internet aux couleurs de Neuf Télécom et piéger ainsi un visiteur en lui proposant, par exemple, une fausse mise à jour modem qui pourrait cacher un virus. (Voir notre démonstration vidéo via le lien ci-dessous, NDR)

Plus inquiétant encore, ces deux redirections non contrôlées par le FAI, peuvent être couplées avec une faille XSS. Un danger trop souvent pris pour une "blagounette" par les internautes ne connaissant pas le finesse de ce genre de vulnérabilité informatique. Pour le cas de Neuf Télécom, il est tout à fait possible de récuperer l'identifiant et le mot de passe d'un compte Neuf.fr. (Voir notre démonstration vidéo via le lien ci-dessous qui couple les deux failles et Google, NDR)

Pour ce faire, le pirate n'a qu'à mettre en place un faux site, dirigé par les urls buggués et, cerise sur la souris, utiliser un XSS qui va invalider le formulaire d'origine de Neuf Télécom. Ce XSS permet de recréer un nouveau formulaire, pirate celui-là. Il va permettre de rediriger, dans les mains du pirate, le contenu du formulaire rempli par l'internaute aini piégé. Deux méthodes possibles, en plus, en get ou post, en affichage direct ou par envoi à distance.

Comme d'habitude, n'ayez aucune confiance dans les liens fournis dans les mels, irc, icq, skype, google Talk, ... (zataz/Super VV)

# Liens connexes

Reportage vidéo

En savoir plus sur ce genre de faille

5 pirates de sites web arrêtés

Cinq défaceurs de sites Internet arrêtés en Espagne. Ils auraient modifié en deux ans 21.000 pages web.

Vulnérabilité critique dans MessengerFX

Un client très populaire pour Windows Live Messenger, MessengerFX, laisse la possibilité à un pirate d'accéder à la liste des contacts d'un utilisateur légitime.

L’OTAN s'arme face aux cyberguerriers

Le Centre de formation à la défense contre des attaques cybernétiques sur Internet va ouvrir en Estonie.

Network Products Guide DefensePro

Radware reçoit le prix de l’innovation produit 2008 du Network Products Guide DefensePro, lauréat dans la catégorie de la sécurité comportementale.

Scene 1, bobine 2. Deconnexion de pirate Internet, action

La première déconnexion pour piratage de musique sur Internet vient de toucher un pirate informatique pas comme les autres. Un gouvernement !

Veni, Vidi, Wistee

Nouvelle attaque informatique de type hameçonnage visant les clients de Paypal. Wistee de nouveau exploité par des pirates.

NDS jugé non coupable de piratage informatique

Le jugement sur l'affaire du piratage du système de chiffrement des chaînes de télévision à péage se termine par le blanchiment du principal accusé, NDS.

Le SP3 a des ratés... bis !

Les problèmes du Service Pack 3 dédié à Windows XP n'a pas fini de pertuber les utilisateurs. Aujourd'hui, la fermeture intempestive de certains ordinateurs.

Vulnérabilité critique dans MessengerFX

Un client très populaire pour Windows Live Messenger, MessengerFX, laisse la possibilité à un pirate d'accéder à la liste des contacts d'un utilisateur légitime.

Le SP3 a des ratés... bis !

Les problèmes du Service Pack 3 dédié à Windows XP n'a pas fini de pertuber les utilisateurs. Aujourd'hui, la fermeture intempestive de certains ordinateurs.

Piège MSN, suite

1, puis 2, maintenant 4 millions d'internautes sont passés par la page Internet d'un voleur de comptes MSN. Faites vous partis des victimes ?

Plus d'un million d'amateurs de MSN piégés en quelques jours

Un site propose de savoir qui vous a effacé de MSN et ICQ. Attention, piège terriblement efficace. Des plus d'un million de victimes recensées par zataz.com.

Réseau social pour hackers

Des hackers lancent un réseau social afin de mettre en relation les spécialistes de la sécurité informatique.

Encrypter facilement les disques durs

Gemalto et McAfee, Inc. lancent l’authentification forte à deux facteurs pour encrypter facilement les disques durs.

SonicWALL: protection sans concession

SonicWALL protège ses clients contre les dernières attaques de phishing ciblé qui visent les cadres dirigeants. L’approche de gestion unifiée des menaces par couches fournit une protection réseau sans concession.

Problème de sécurité pour Adobe Systems Incorporated

L'éditeur de logiciels ADOBE épinglé pour avoir mis en danger des clients à partir d'un de ses sites Internet.

Réagissez à ce contenu