Un code Javascript permet de piéger des boutiques dans le monde. Et en France ?

Un Javascript hébergé par la société Feedify permet de piéger plusieurs milliers de boutiques de par le monde. En France, même sanction pour plusieurs billetteries d’espaces culturels.

Piéger ! Le site Data Security Breach revient sur la découverte d’une faille dans une bibliothèque Javascript employée par la société Feedify. Ce code, quand il n’est pas modifié par des pirates, permet à des boutiques et hôtels de réaliser des transactions entre eux et leurs clients d’internautes. Le Js de Feedify malmené plusieurs fois par des pirates. Il a permis de lancer un cheval de Troie, MageCart. Un outil d’interception de données aperçu chez British Airways et de Ticketmaster.

Et en France, tout va bien, comme d’hab ?!!

En France, voilà plus de trois mois que le Protocole ZATAZ tente de faire corriger le même type de faille sur plusieurs dizaines de sites web exploitant une billetterie pour une salle de spectacles, un cinéma, … Dans la foulée, en juin 2018, j’alertais dans la foulée la CNIL et l’ANSSI. Et devinez quoi ?! La faille est toujours présente. Elle permet, comme pour le cas de Feedify, d’injecter du code ; télécharger un outil malveillant de type MageCart ; un script via Pastebin ou encore, comme dans les captures écrans proposées dans cet article, créer un espace de vente, offrant la possibilité de télécharger les données bancaires d’un utilisateur non averti.

En attendant la correction

Je vous déconseille fortement d’utiliser les espaces de billetterie du Planétarium de Vaulx-en-Velin ; de la billetterie des points de vente des boutiques Suisse Migros ; l’auditorium de Lyon ; … Je vous propose aussi de bien vérifier l’adresse web proposée par mail, réseaux sociaux. Tapez vous même l’adresse dans votre butineur préféré.

La billetterie du château de Versailles était concernée. Dans ce cas, l’ANSSI [RM#52502 et RM#52508] a pu faire corriger la faille rapidement après le protocole ZATAZ n’270620182358.

 

 

 

 

 

 

 

 

 

 

Pour finir, deux détails loin d’être négligeables en cette période post-RGPD : aucun de ces sites n’est utilisable en HTTPS : certificat invalide et redirection vers HTTP. Les mentions légales liées à la collecte de données personnelles sont également affligeantes (inexistantes…).

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (16) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Médaille d'argent du 1er CTF Social Engineering Canadien, en 2023, lors du HackFest de Québec. Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. pierrockc Reply

    Se venter expert et confondre Java et JavaScript ?!

    • Damien Bancal Reply

      Bonjour Pierre,
      Pardon de cette erreur « venteuse ». Heureusement que je me « vante » plus de mes quelques erreurs, avec sourire !
      J’espère que vous avez lu le papier, qui lui, a su répondre à votre attente. Mais ça, à première vue, vous le gardez secret, au fond de votre sympathique commentaire.

  2. Mickael Reply

    A remplacer dans le titre java par javascript ou js, sinon on ne parle pas de la même chose

    • Damien Bancal Reply

      Bonjour Mickaël, Matthieu,
      Oui, tout à fait. Merci, corrigé 🙂

  3. Matthieu BROUILLARD Reply

    Java != Javascript, merci de ne pas écrire n’importe quoi (titre faux) qui pourrait influencer certains décideurs.

  4. Pingback: ZATAZ Rétrospective 2018 : le web, plus troué qu'un gruyère ? - ZATAZ

  5. Pingback: ZATAZ Attaque bancaire à l'encontre de plusieurs boutiques Françaises - ZATAZ

  6. Pingback: ZATAZ Le géant de commerce américain Macy, piraté - ZATAZ

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.