Nous joindre par : 0899274448*
Protocole ZATAZ

Faille corrigée pour le site SecNumacademie

Le Protocole ZATAZ fait corriger une faille sur l’un des sites de l’ANSSI : SecNumAcademie.

L’ANSSI a lancé, ces dernières semaines, plusieurs sites Internet ayant pour vocation d’éduquer à la sécurité informatique. L’Agence Nationale de la Sécurité des Systèmes d’Information propose, par exemple, un excellent MOOC diffusé sur SecNumacademie.gouv.fr. Vous y trouverez l’ensemble des informations pour vous initier à la cybersécurité, approfondir vos connaissances, et ainsi agir efficacement sur la protection de vos outils numériques. Ce dispositif est accessible gratuitement jusqu’au mois d’avril 2019. Le suivi intégral de ce dispositif vous fera bénéficier d’une attestation de réussite.

Une belle réussite que ce projet. Je souhaitais me lancer dans les nouveaux “ateliers” proposés, mais comme toute bonne tête en l’air, j’ai oublié le mot de passe employé. Sachant que je possède un mot de passe pour chaque espace que j’exploite, j’ai donc utilisé l’option “Identifiant ou mot de passe oublié ?“. Rapidement, un problème est apparu sous la forme d’un Cross-Site Scripting (XSS).

Pour une fois, un Protocole ZATAZ envoyé à l’ANSSI concernait l’ANSSI. Ni une, ni deux, comme à son habitude, la Grande Dame a répondu dans les minutes qui ont suivi l’alerte.

Une petite faille qu’il faut prendre au sérieux

Un lien malveillant, utilisant donc l’adresse officielle du site faillible, diffusé par mail, forum, réseaux sociaux, peut déclencher l’action pirate : vol de cookies de connexion, seconde attaque par rebond, téléchargement d’un virus/ransomware/keylogger, … Certains XSS peuvent aussi être permanents. Une fois installé dans un espace comme un forum ou dans le message d’un internaute, sous forme de post, le XSS se déclenchera à chaque fois que la page sera visitée. Pour rappel, l’organisation OWASP a classé les XSS comme étant la troisième plaie du web.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM Journaliste (damienbancal.fr) Travaille sur les sujets cybercriminalité/cybersécurité depuis 1992 ; Officie/a officié pour Europe 2, 01net, Micro Hebdo, La Voix du Nord, Tilt, Entrevue, l’Écho des Savanes, Le Canard Enchaîné, France 3, Nord'way, Programmez ... Premier article en 1989 dans le mensuel "Amstar & CPC" ; Auteurs/coauteurs de 8 livres : "Pirates & hackers sur Internet" (Ed. Desmaret) ; "Hacker, le 5ème pouvoir" (Ed. Maxima) ; Ethical Hacking (Ed. ENI) ; "Tout pour maîtriser votre PC et Internet" (Ed. Que Choisir) ... Intervenant pour la Licence professionnelle Collaborateur pour la Défense et l'Anti-Intrusion des Systèmes Informatiques (CDAISI) IUT de Maubeuge ; Master Cyberdéfense Université de Valenciennes ; Commandant Réserviste Cyberdéfense Gendarmerie Nationale (RCC) ; Reserviste de l'Education Nationale ; Chroniqueur pour WEO TV et France Bleu Nord.

Articles connexes

  1. Fabrice Reply

    Bonjour,

    Pas besoin d’un accent aigu sur https://www.secnumacadEmie.gouv.fr 🙂

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.