Nous joindre par : 0899274448*

Faille sur le site du Sénat… pour la Commission d’enquête anti djihadistes

Passionnante et instructive rencontre que celle proposée ce mecredi 28 janvier, au Sénat, sur le sujet de l' »Internet et terrorisme djihadiste ». Un rendez-vous mise en place par la Commission d’enquête sur l’organisation et les moyens de la lutte contre les réseaux djihadistes.

Sauf qu’il y aurait pu y avoir un joyeux « merdier » après la découverte d’une faille visant l’espace 2.0 de ce rendez-vous. La commission d’enquête sur l’organisation et les moyens de la lutte contre les réseaux djihadistes a organisé ce mercredi 28 janvier, une table ronde sur « Internet et terrorisme djihadiste« . Directement via le site Internet du Sénat, il était possible de suivre le débat via un outil (américain ! CovertLive) qui diffusait les Tweets et les commentaires des participants.

Nous n’expliquerons pas comment, mais il était possible d’exécuter des commandes malveillantes à partir de cet application. Une faille de type XSS (cross-site scripting) qui aurait pu permettre de lancer des actions malveillantes comme le vol de cookies des internautes visiteurs ou de proposer le téléchargement d’un logiciel pirate, …

Senat alerte zataz

Dans notre exemple, affichage d’une fenêtre avec le cookie de connexion du visiteur, trouvé dans son ordinateur.

Via la protocole d’alerte de zataz, la possibilité a rapidement été bloquée.

Pour rappel, L’OWASP, l’Open Web Application Security Projet, a classé la XSS comme étant la troisième faille la plus exploitée par les pirates d’application web. Les failles XSS se produisent chaque fois qu’une application accepte des données non fiables et les envoie à un navigateur (Internet Explorer, Firefox, Chrome, …) sans validation appropriée. XSS permet à des attaquants d’exécuter du script dans le navigateur de la victime afin de détourner des sessions utilisateur, défigurer des sites web, ou rediriger l’utilisateur vers des sites malveillants.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM Journaliste (damienbancal.fr) Travaille sur les sujets cybercriminalité/cybersécurité depuis 1992 ; Officie/a officié pour Europe 2, 01net, Micro Hebdo, La Voix du Nord, Tilt, Entrevue, l’Écho des Savanes, Le Canard Enchaîné, France 3, Nord'way, Programmez ... Premier article en 1989 dans le mensuel "Amstar & CPC" ; Auteurs/coauteurs de 8 livres : "Pirates & hackers sur Internet" (Ed. Desmaret) ; "Hacker, le 5ème pouvoir" (Ed. Maxima) ; Ethical Hacking (Ed. ENI) ; "Tout pour maîtriser votre PC et Internet" (Ed. Que Choisir) ... Intervenant pour la Licence professionnelle Collaborateur pour la Défense et l'Anti-Intrusion des Systèmes Informatiques (CDAISI) IUT de Maubeuge ; Master Cyberdéfense Université de Valenciennes ; Commandant Réserviste Cyberdéfense Gendarmerie Nationale (RCC) ; Reserviste de l'Education Nationale ; Chroniqueur pour WEO TV et France Bleu Nord.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.