Previous Story
Prudence aux liens renvoyant vers admission-postbac.fr
Les lycéens, et plus précisément les élèves de terminales vous le diront, le site dossier.admission-postbac.fr est devenu un petit espace de stress et d’avenir. De stress car il faut que ce dernier fonctionne, sans bug. D’avenir, car à partir de chaque 20 janvier, les futurs bacheliers doivent se préinscrire pour la/les formations de première année d’enseignement supérieur (notamment toutes les licences, les DUT et les B.T.S. – y compris les BTS agricoles, les classes préparatoires, de nombreuses écoles…). Prudence aux liens que vous pourriez recevoir, un piège se cache peut-être derrière.
Au début du 2e trimestre de terminale, les élèves constituent, sur le portail Admission Post Bac, un dossier de préinscription précisant ses choix d’orientation pour les enseignements post-bac. Un site qui permet aux lycéens de rentrer leurs différents vœux. Une préinscription obligatoire. Prudence aux liens qui pourraient vous inciter à vous rendre sur dossier.admission-postbac.fr, une faille a été découverte. Elle pourrait permettre à un pirate quelques actions malveillantes à l’encontre du visiteur et de son ordinateur. A noter que cette faille est en cours de correction, l’ANSSI et le Ministère de l’Éducation Nationale ont été alertés à ce sujet par notre protocole d’alerte.
Pourquoi prudence ? La vulnérabilité, une XSS, un cross-site scripting, qui permet d’exploiter le site et son url officiel pour lancer des actions malveillantes comme le vol du cookies, proposition de téléchargement d’un logiciel pirate, … Pour rappel, L’OWASP, l’Open Web Application Security Projet, a classé la XSS comme étant la troisième faille la plus exploitée par les pirates d’application web.
Les failles XSS se produisent chaque fois qu’une application accepte des données non fiables et les envoie à un navigateur (Internet Explorer, Firefox, Chrome, …) sans validation appropriée. XSS permet à des attaquants d’exécuter du script dans le navigateur de la victime afin de détourner des sessions utilisateur, défigurer des sites web, ou rediriger l’utilisateur vers des sites malveillants.
Pour le cas du site admission-postbac.fr, nous vous conseillons de taper vous même l’adresse dans votre navigateur. Vous avez jusqu’au 20 mars (18h) pour la saisie des vœux.
