Gravatar couramment utilisé Blog perso de Paul Da Silva

Faites ce que je dis, pas ce que je fais !

Posted on | octobre 3, 2010 | 9 Comments

Ce que la loi Création et Internet a réellement réussit à créer (au delà de l’Hadopi qui n’est qu’une mauvaise blague – les plus courtes sont les meilleures d’ailleurs) c’est le délit de négligence caractérisée qui consiste à verbaliser ceux qui ne sont pas experts en sécurité… Nous avions déjà avec Bluetouff et RootBSD tenté de faire entendre raison à tout ce beau monde avec un audit rapide de la plupart des sites en .gouv.fr sur lesquels nous avions trouvé outre un certain nombre de failles (pour beaucoup réparées depuis) un grand nombre d’informations et d’accès à des documents marqués confidentiels, des administrations, … Bref un beau bordel !

Le site Hadopi.fr étant sorti depuis quelques jours (enfin !) il était trop tentant de ne pas essayer de réitérer le message en cherchant de petites choses sur un site relativement bien sécurisé parce que tout en statique !

Bon la bonne nouvelle c’est qu’effectivement la négligence caractérisée est une belle fumisterie impossible, même pour une société comme Extelia qui propose aussi des solutions de vote électronique (assez critique comme type d’infos non ?), est incapable de pondre un site statique sans faille !

J’ai en effet réussi à mettre la main sur une petite faille XSS (à peine exploitable ceci dit) dans le formulaire de contact… http://hadopi.fr/contact.php?firstname=%22%3E%3Cscript%3Ealert%281%29%3C/script%3E

Cette bête URL déclenchera un simple alert javascript avec le texte « 1 » dedans. En soi ça ne présente aucun intérêt mais il est possible de remplacer le code alert(1) par quelque chose de plus agressif (comme les fameux XSS de twitter il y a quelques jours).

Si en soit le correctif à appliquer est d’une facilité déconcertante (htmlentities mon ami !) cela révèle surtout que la société d’experts qui a été mandaté par Hadopi pour faire son joli site est incapable de suivre les règles les plus élémentaires de sécurisation de sites web… Petit exemple : dans un formulaire en POST aucun intérêt d’inclure les variables passées en GET… Le $_REQUEST ma grand mère ne s’en sert plus !

J’ai prévenu Eric Walter, secrétaire général d’Hadopi, via twitter et celui-ci est resté beau joueur (capture d’écran juste en dessous) mais le fait est là : la négligence caractérisée est une énormité sans nom !

Edit : Hadopi a en effet pris les devants pour corriger la faille : ils ont coupé le formulaire ! On en revient donc à la solution ultime : pour sécuriser votre connexion débranchez votre box !

Edit 2 : Le copain Bluetouff m’a rappelé un fait relativement croustillant à propos de nos amis de chez Extelia et en rapport avec le XSS qu’ils connaissent pourtant très bien !

Commentaires

9 Responses to “Faites ce que je dis, pas ce que je fais !”

  1. tth
    octobre 3rd, 2010 @ 21 h 01 min

    Comme quoi http://hadopi.fr/ ça n’est que de la pipotronique.

  2. Chibani
    octobre 3rd, 2010 @ 21 h 11 min
  3. Arkados
    octobre 3rd, 2010 @ 22 h 22 min

    alert(‘LOL’)

    Quand on sait pas faire comme il faut un formulaire, on se contente d’intégrer le code renvoyant la requête de recherche à Google 🙂
    Il interprète d’autant mieux la requête que le moteur de hadopi.fr.

  4. Pecky
    octobre 4th, 2010 @ 11 h 19 min

    Je n’avais pas testé le Xss, mais ce qui est amusant c’est que visiblement le résultat du formulaire semble être versé dans un fichier texte comme je l’ai twitté (http://twitter.com/Pecky/status/26079201352).
    form/code/contact_to_csv.php étant le php appelé par le form, ce qui m’a laissé penser que l’interaction avec le site de l’hadopi est complètement déconnecté de toute base (hormis celle de Drupal qui est utilisée pour le site)

  5. Anonyme
    octobre 4th, 2010 @ 12 h 56 min

    Comme le blog de pixmania qui fait de la pub pour hadopi ? http://goo.gl/8kjQ

  6. cynoque
    octobre 6th, 2010 @ 20 h 20 min

    Oui cette faille est super connue, et facilement évitable en php. Et pour des variables de formulaire qui collent les entrées en base de donnée, ça peut être dangereux. Exemple : Faire croire à la fonction mysql_query que la requête est terminée et qu’un code se pointe derrière… genre vider la base par exemple (Là j’imagine, je suis pas un pirate moi! si ca se trouve je dis des conneries mais bon…) C’est une des premières choses qu’on apprend en PHP pour traiter les formulaire. Je l’aurai laissée comme ça sans avertir personne! Le webmaster a du se faire vilipender hadopiquement : un mail, une lettre recommandée, et suspension de sa connexion :PPP

  7. cynoque
    octobre 6th, 2010 @ 20 h 22 min

    @chibani rotfl

  8. Youpi
    mars 30th, 2011 @ 10 h 32 min

    Paul tu fais du consulting gratuit pour hadopi ? :p

  9. Follia Digitale » Hadopi trasformato in The Pirate Bay grazie a una falla di sicurezza
    avril 3rd, 2011 @ 16 h 42 min

    […] a una vulnerabilità di tipo XSS: Da Silva era già riuscito a sfruttare una situazione simile in ottobre, attraverso il form di contatto che permette d’inviare le segnalazioni ad Hadopi. Queste falle […]

Leave a Reply





Edito

Ancien journaliste, ancien entrepreneur, ancien (ir)responsable Pirate, actuel citoyen qui s'intéresse à la politique et à son évolution.

Read moar !.

Retrouvez moi sur :

Suivez moi sur twitter sur facebook sur wikipedia Ajouter ce blog a votre lecteur RSS

Bitcoin

bitcoin logo
1GZnMQ9wXyifxCnDEqg8CSGdngWcKWptHv

Piratons la démocratie

piratons la democratie

One more thing !

0100 0011 0110 1000 0110 0001 0110 1110 0110 0111 0110 0101 0111 0010 0010 0000 0110 1100 0110 0101 0010 0000 0110 1101 0110 1111 0110 1110 0110 0100 0110 0101 0010 0000 0110 0101 0110 1110 0010 0000 0111 0011 0010 0111 0110 0001 0110 1101 0111 0101 0111 0011 0110 0001 0110 1110 0111 0100 0010 0000 0010 1101 0010 0000 0110 1111 0110 1110 0010 0000 0111 0110 0110 0001 0010 0000 0110 0010 0110 1111 0110 1001 0111 0010 0110 0101 0010 0000 0111 0101 0110 1110 0010 0000 0110 0011 0110 1111 0111 0101 0111 0000 0010 0000 0011 1111

Tm9uIGNlbGVsIGzgIGVzdCBqdXN0ZSBwb3VyIHRlIGZhaXJlIHBlcmRyZSA1bW4gOyk=

Relationship Closeness Inventory

Promo code Genesis Mining

Sha 256 cloud mining

Best Bitcoin debit card

Zcash Mining