La FFF corrige une faille sur son espace web
Intercepter les cookies, afficher une fausse page, enclencher un téléchargement malveillant… La faille que vient de corriger la Fédération Française de Football sur son espace web aurait pu permettre des actes pirates. A quelques semaines de la coupe du monde de Football, l’équipe informatique de la FFF a été droit au but.
Les problèmes en informatique sont monnaie courante. Il n’y aura jamais de code, de machine, d’espace web infaillibles. La priorité pour une entreprise (publique, privée, associative, …) être capable de répondre vite et bien afin de palier la défaillance. C’est ce qu’a su faire l’équipe informatique de la Fédération Française de Football. Le 7 mai, je constatais un sérieux problème sur l’ensemble des sous domaines de la Fédération Française de Football. Les sous domaines correspondent à l’ensemble des pages des Districts Français de Football (Plus de 2 millions de licenciés en 2016). La vulnérabilité, une XSS. Une découverte à partir d’une alerte communiqué par Pr0mpt, un lecteur. Il souhaitait passer par le Protocole ZATAZ pour alerter la fédération (Alerte n’070520181100).
Une faille XSS (cross site scripting) peut permettre de nombreuses actions malveillantes. Via une XSS, il est possible d’intercepter le cookie de connexion (et le pirate peut se faire passer pour la personne autorisée et connectée) ; afficher un message, une page pirate (phishing, fake news, …) ; automatiser le téléchargement d’un code malveillant. A chaque connexion, un fichier joint. Orchestré une attaque secondaire, via chaque connexion sur le site faillible. Il existe trois formes de XSS : Stockée, non stockée et « DOM ». Pour le cas de la FFF, la XSS était persistante.
Le football, cible des pirates !
Comme en juin 2017, l’équipe informatique de la Fédération a réagi au quart de tours. A l’époque, une base de données vendue dans le black market (350€) annonçait plus d’un million de données collectées.
Plus d'1 million de données appartenant aux supporters inscrits sur le site de la FFF à vendre dans le Blackmarket ? https://t.co/52KHpcqnJg
— Damien Bancal "o/" (@Damien_Bancal) June 7, 2017
A noter, fin avril 2018, à la suite de la diffusion d’un exploit pirate visant des sites sous Drupal non mis à jour, la billetterie pour la coupe du monde de football féminin (FIFA) U-20 avait été infiltrée. Bref, le football est une cible de choix pour les pirates : des fans, de l’argent et des données personnelles !
En 2017, le XSS était la 7e vulnérabilité la plus exploitée par les pirates selon l’OWASP. Une faille qui restait difficile à exploiter. Un pirate aurait du créer un lien particulièrement formulé et le communiquer à ses cibles par mail, forums ou réseaux sociaux.
Pingback: ZATAZ Rétrospective 2018 : le web, plus troué qu'un gruyère ? - ZATAZ