Le site de Free Mobile hacké ?

6

Vous êtes plusieurs à nous l’avoir fait remarquer, le site de Free Mobile a fermé temporairement son système d’inscriptions peu après 12h40 ce jour. L’inaccessibilité aura été de courte durée, puisqu’elle aura duré en tout et pour tout à peine plus d’une demi-heure…

Lors d’un clic sur une des bannières d’inscription du site, ce dernier renvoyait un message invitant à revenir quelques minutes plus tard.


Cette mesure aurait en réalité permis aux développeurs de corriger une faille de type XSS (cross-site scripting) sur leur site, qui aurait été exploitée plus tôt dans la matinée. La page d’inscription aurait potentiellement pu être détournée, via des liens spécifiques y menant, un “exploit” revendiqué par un certain Atm0n3r ; c’est en tout cas ce qu’affirme Tom’s Guide, capture d’écran à l’appui.


À l’heure où nous écrivons ces lignes, tout semble rentré dans l’ordre et les inscriptions sont de nouveau accessibles.

Partager

A propos de l'auteur

[Responsable de la rédaction] Sévit également sur Café Gaming et Point de vue social.

6 commentaires

  1. moi j'ai toujours ça

    Oups..[/b]

    La page demandée n'existe pas.


    Mais des modifications ont eu lieu, il est maintenant possible de modifier le RIB et l'adresse mail depuis l'espace abonné

  2. Sauf qu'un XSS ne modifie rien côté serveur, donc le site n'a pas été defacé...

    En revanche, en cliquant sur un lien vers free mobile contenant des paramètres spécialement formés (comme ça semble être le cas sur la capture), on peut exploiter une faille XSS pour manipuler le code HTML affiché, et obtenir ce genre de captures.

    Mais rien n'est modifié sur le serveur pour autant. C'est pourquoi il est faux de dire que le site a été defacé.

  3. Freud a écrit :

    Sauf qu'un XSS ne modifie rien côté serveur, donc le site n'a pas été defacé...

    En revanche, en cliquant sur un lien vers free mobile contenant des paramètres spécialement formés (comme ça semble être le cas sur la capture), on peut exploiter une faille XSS pour manipuler le code HTML affiché, et obtenir ce genre de captures.

    Mais rien n'est modifié sur le serveur pour autant. C'est pourquoi il est faux de dire que le site a été defacé.

    Une faille XSS peut être *utilisée* pour défacer un site (injection) et c'est manifestement ce qui est arrivé.
    Après, je ne fais que relayer des informations, n'ayant pas pu le voir par moi-même. D'où le conditionnel de circonstance.

  4. Yoann Ferret a écrit :

    Une faille XSS peut être *utilisée* pour défacer un site (injection) et c'est manifestement ce qui est arrivé.
    Après, je ne fais que relayer des informations, n'ayant pas pu le voir par moi-même. D'où le conditionnel de circonstance.


    Justement, ce que je suis en train de dire, c'est qu'une injection de HTML par variable dans l'URL n'est PAS un défaçage.

    Un défaçage, c'est quand une page est modifiée côté serveur, et donc visible par tout le monde qui se rend sur la page en question.

    Là, pour voir une page modifiée, il faut cliquer sur un lien contenant le HTML à injecter, chose qui n'arrivera donc à personne qui se rend sur le site par une voie normale...

    Pour résumer :
    Défaçage = page modifiée sur le serveur, tout le monde la voit
    XSS = injection de HTML dans l'URL, visible uniquement en cliquant sur un lien spécialement formé

    Donc, on ne peut pas dire que le site a été defacé, simplement qu'une faille XSS existe et a été utilisée, c'est-à-dire qu'un lien spécifiquement formé a été envoyé à certaines personnes qui ont cliqué dessus.

  5. Freud a écrit :


    Une faille XSS peut être *utilisée* pour défacer un site (injection) et c'est manifestement ce qui est arrivé.
    Après, je ne fais que relayer des informations, n'ayant pas pu le voir par moi-même. D'où le conditionnel de circonstance.


    Justement, ce que je suis en train de dire, c'est qu'une injection de HTML par variable dans l'URL n'est PAS un défaçage.

    Un défaçage, c'est quand une page est modifiée côté serveur, et donc visible par tout le monde qui se rend sur la page en question.

    Là, pour voir une page modifiée, il faut cliquer sur un lien contenant le HTML à injecter, chose qui n'arrivera donc à personne qui se rend sur le site par une voie normale...

    Pour résumer :
    Défaçage = page modifiée sur le serveur, tout le monde la voit
    XSS = injection de HTML dans l'URL, visible uniquement en cliquant sur un lien spécialement formé

    Donc, on ne peut pas dire que le site a été defacé, simplement qu'une faille XSS existe et a été utilisée, c'est-à-dire qu'un lien spécifiquement formé a été envoyé à certaines personnes qui ont cliqué dessus.

    Oui, sauf qu'il est possible de défacer par XSS.
    Bon, de toute façon, j'ai corrigé certains points de l'article, le site que j'avais pris en source ayant "oublié" de mentionner qu'il avait tout volé à un autre. L'article d'origine précise effectivement bien qu'il n'y a pas eu défacage.

  6. http://www.telephonefreemobile.fr/free-mobile-le-site-a-ete-pirate/

    « Il n’y avait pas de problème… il n’y avait un problème que pour les personnes qui cliquaient sur le lien fournit par ce pseudo hacker… sur un pc sur lequel personne n’avait cliqué sur ce lien, il n’y avait AUCUN problème.. "

    Qui croire :> ?

  7. Réagir sur le forum