pirates informatiques crypto-stealers faille de sécurité

Faille de sécurité chez AliExpress : 100 millions de clients impactés

Posted On 22 Nov 2017

Tag: filoutage, hameçonnage, infiltration, Internet of Things, shell

Une faille de sécurité dans le site e-marchant AliExpress vient d’être découverte. La filiale du groupe AliBaba possède plus de 100 millions de clients et affiche 23 milliards de dollars de revenu.

La faille de sécurité (vulnérabilité) découverte permet aux pirates de cibler les utilisateurs d’AliExpress en leur envoyant un mail de phishing avec un lien vers une page AliExpress contenant un code malicieux Javascript. Quand la personne ouvre la page, le code s’exécute dans le moteur de recherche, et contourne les protections contre les attaques du type « cross-site scripting » (XSS), en utilisant une vulnérabilité dite « open redirect ».

Une fois sur la page malicieuse, l’utilisateur ne se rend compte de rien et continue de faire son shopping. Le pirate va ensuite déclencher une fenêtre pop-up. Elle peut offrir une réduction. Ou comme je peux vous le montrer très souvent, lancer une fausse page.

AliExpress, ayant une approche très sérieuse de la cybersécurité, a mis deux jours à patcher cette vulnérabilité. Un exemple a suivre pour les autres retailers. (CheckPoints)

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

L’essor des vols de cartes SIM d’ascenseurs et de bornes d’urgence : un fléau technologique exploité par les cybercriminels

Posted On 08 Oct 2024

, By Damien Bancal

2 Comments

Dos anjos 22/11/2017 at 21:58 Reply

Oui c’est vrai .maintenant j’ai peur de commander.
nicolas 01/02/2018 at 11:53 Reply

je me suis fait pirater mon compte chez eux le premier janvier ils ont mis une semaine à me restituer mon compte le problème c’est qu’entre temps les hackers russe ont demandés aux vendeurs de modifier l’adresse de livraison.
Et même en leur apportant toutes les preuves il ne me rembourse pas… donc attention à vous il n’y a aucun sav,pas de telephone, aucune garantie acheteur.