espace web

La FFF corrige une faille sur son espace web

Intercepter les cookies, afficher une fausse page, enclencher un téléchargement malveillant… La faille que vient de corriger la Fédération Française de Football sur son espace web aurait pu permettre des actes pirates. A quelques semaines de la coupe du monde de Football, l’équipe informatique de la FFF a été droit au but.

Les problèmes en informatique sont monnaie courante. Il n’y aura jamais de code, de machine, d’espace web infaillibles. La priorité pour une entreprise (publique, privée, associative, …) être capable de répondre vite et bien afin de palier la défaillance. C’est ce qu’a su faire l’équipe informatique de la Fédération Française de Football. Le 7 mai, je constatais un sérieux problème sur l’ensemble des sous domaines de la Fédération Française de Football. Les sous domaines correspondent à l’ensemble des pages des Districts Français de Football (Plus de 2 millions de licenciés en 2016). La vulnérabilité, une XSS. Une découverte à partir d’une alerte communiqué par Pr0mpt, un lecteur. Il souhaitait passer par le Protocole ZATAZ pour alerter la fédération (Alerte n’070520181100).

Une faille XSS (cross site scripting) peut permettre de nombreuses actions malveillantes. Via une XSS, il est possible d’intercepter le cookie de connexion (et le pirate peut se faire passer pour la personne autorisée et connectée) ; afficher un message, une page pirate (phishing, fake news, …) ; automatiser le téléchargement d’un code malveillant. A chaque connexion, un fichier joint. Orchestré une attaque secondaire, via chaque connexion sur le site faillible. Il existe trois formes de XSS : Stockée, non stockée et « DOM ». Pour le cas de la FFF, la XSS était persistante.

Le football, cible des pirates !

Comme en juin 2017, l’équipe informatique de la Fédération a réagi au quart de tours. A l’époque, une base de données vendue dans le black market (350€) annonçait plus d’un million de données collectées.

A noter, fin avril 2018, à la suite de la diffusion d’un exploit pirate visant des sites sous Drupal non mis à jour, la billetterie pour la coupe du monde de football féminin (FIFA) U-20 avait été infiltrée. Bref, le football est une cible de choix pour les pirates : des fans, de l’argent et des données personnelles !

En 2017, le XSS était la 7e vulnérabilité la plus exploitée par les pirates selon l’OWASP. Une faille qui restait difficile à exploiter. Un pirate aurait du créer un lien particulièrement formulé et le communiquer à ses cibles par mail, forums ou réseaux sociaux.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Pingback: ZATAZ Rétrospective 2018 : le web, plus troué qu'un gruyère ? - ZATAZ

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.