Exclusif : Un pirate pourrait intercepter le mot de passe de connexion de n'importe quel client de cette boutique, filiale de France Telecom.
Spécialiste des loisirs culturels et de la vente par correspondance, alapage.com est un des sites de commerce électronique de France Télécom. Une pointure, donc, dans le business de la ventre de CD, DVD, livres via Internet. Seulement, nous avons découvert, lors d'un de nos achats, qu'il était possible, à un pirate, d'intercepter l'identifiant et le mot de passe d'accès de n'importe quel client du site ALAPAGE.
Comme d'habitude, cela en devient même inquiétant (LIRE), la faille est un XSS (Cross Site Scripting) directement à partir de la page d'authentification client. Un espace ou il est demandé de rentrer login et mot de passe de connexion. Particuliérement dangereux, le pirate (phisher et compagnie) peut piéger n'importe quel client en proposant uniquement le lien, l'adresse officielle du site Alapage, dans un courriel, par exemple. Un lien, qui, particulièrement modelé, permettra au pirate cette interception, en toute transparence, pour les victimes.
A noter que notre exemple (VOIR) est sans danger. Il vous suffit de taper, dans les parties dédiées, un identifiant et un mot de passe pour comprendre le danger évident de cette faille. Un pirate pourrait, lui, intercepter les données sans même que sa victime ne puisse s'en rendre compte. Les données (IP, login, password, ...) pouvant être envoyé par courrier électronique, à l'insu de la cible. Une victime qui, pourtant, aura totalement confiance, la page dangereuse est officielle, sécurisée (secured.alapage.com) et cryptée (https). (ZATAZ/SuperVV)
Update : Orange/FT a rapidement corrigé le problème suite à notre alerte. (LIRE)
a>
Costa-Gavras, Rachid Bouchareb ou encore Gérard Jugnot font parti des réalisateurs à voter pour le projet de loi création et Internet.
Pas de changement depuis le dernier classement pour les deux premières places, avec Trojan.clicker.CM et Trojan.Downloader.WMA.Wimad.N. Le trojan Trojan.FakeAlert.PP gagne du terrain.
Sybase iAnywhere Offre de nouvelles fonctionnalités de sécurité mobile pour répondre aux problèmes accrus liès aux malware, pirates et virus informatiques.
Mobilegov, éditeur de solutions de sécurité basées sur la technologie brevetée de l'ADN du Numérique annonce le démarrage de projets pilotes avec deux organismes bancaires majeurs en Europe.
L'administration en charge du numéro de Sécurité Sociale diffuse les données sensibles de 20.000 américains qu'elle croyait décédés.
Un groupe de pirates a réussi a rediriger une page Internet appartenant au site du Centre National de la Recherche Scientifique.
Un robot va patrouiller dans les bureaux d'une firme japonaise afin de contrôler les employés couche tard !
Une start-up américaine met au point un casque de contrôle mental de jeux vidéo. La police est déjà intéressée par le matos !
Mobilegov, éditeur de solutions de sécurité basées sur la technologie brevetée de l'ADN du Numérique annonce le démarrage de projets pilotes avec deux organismes bancaires majeurs en Europe.
Le système de prévention des intrusions (IPS) de Stonesoft est le meilleur moyen pour analyser le trafic des agrégats de lignes entre les commutateurs
MAAF Assurances recommande la solution AdBackup d’Oodrive qui permet aux entreprises de ne pas courir le risque de la perte de données et d’agir en préventif.
Inscrivez-vous gratuitement à la News-Letter de ZATAZ.COM et recevez, dans votre boite électronique, l'actualité diffusée dans nos colonnes.
Le portail communautaire de diffusion de vidéo YouTube va devoir dévoiler les habitudes de ses visiteurs à la demande de la justice américaine.
Un vice-président de la société informatique HP mis à la porte après avoir espionné et volé des données à un concurrent.
Exclu - Découverte d'un accès à l'administration du site Internet la marque de luxe Nina Ricci.
Cyberoam lance une nouvelle version de son firmware pour mieux armer les entreprises contre les nouvelles menaces.
Pas de changement depuis le dernier classement pour les deux premières places, avec Trojan.clicker.CM et Trojan.Downloader.WMA.Wimad.N. Le trojan Trojan.FakeAlert.PP gagne du terrain.
Sybase iAnywhere Offre de nouvelles fonctionnalités de sécurité mobile pour répondre aux problèmes accrus liès aux malware, pirates et virus informatiques.
Mobilegov, éditeur de solutions de sécurité basées sur la technologie brevetée de l'ADN du Numérique annonce le démarrage de projets pilotes avec deux organismes bancaires majeurs en Europe.
Lancement d'un site Web francophone entièrement dédié au monde du renseignement : www.lerenseignement.com
Qui a dit que le film à succès de Dany Boon, Bienvenue chez les Ch’tis, était une machine à fric ? Après les paillassons, les boites à “hinnn!”, le jeu vidéo, … va débarquer dans les boutiques le DVD. Le DVD original qui sera commercialisé entre 19 et 20 euros. Chez Carrefour, il est même [...]
Durant quelques heures, les 14 chansons du nouvel album de Carla Bruni auraient été diffusés sur le réseau des réseaux. Une promotion ou acte de piratage ? Personne n’est capable de le dire. Personne ne possède encore cet album baptisé Comme si de rien n’était. Il ne sera remis aux boutiques, comme aux sites de [...]
Petite coquille d’été pour un article du 3 juillet tiré du site du Figaro. Cet papier numérique propose de revenir sur une popularité en - baise - du président de la république française. Il fallait bien évidement comprendre et traduire l’erreur par “Flash actu : Popularité en baisse pour Sarkozy” et non pas “Flash actu : Popularité [...]
La tennis Woman française, Amélie Mauresmo, a fêté ses 29 ans, hier samedi. Un pirate informatique tunisien a souhaité lui faire un cadeau d’anniversaire. L’internaute, qui a signé Scarface Team, a été modifier le site web officiel de l’ancienne numéro 1 du tennis mondial, ameliemauresmo.fr. Le pirate a laissé plusieurs messages dont : “Une Faille [...]