NOUVELLES FAILLES POUR FACEBOOK


Exclusif : Nouvelles failles pour le portail communautaire. Utilisateurs de Facebook, prudence.

Cette semaine, quatre failles critiques de Cross Site Scripting (XSS) et de redirection visant facebook ont été publiées par des internautes. Les auteurs de ces trouvailles sont des chercheurs en sécurité amateur ou professionnel Zeitjak, David Wharton, Daimon, p3lo, xylitol.

Quels sont les riques encourrus par ses utilisateurs ? Pour mieux vous renseigner nous sommes parti a la rencontre de p3lo et xylitol afin qu'ils nous expliquent les enjeux de ces failles.

Voici la liste des possibilitées qui s'offrent aux internautes malicieux :


- Pishing (hameçonnage), simple vol de session utilisant une page de redirection ou un code javascript qui renvoi sur une page malicieuse écrite par le pirate.

- Détournement des informations utilisateurs et execution d'un code a distance sur le profil d'un utilisateur (Grace à des objets activeX ou des requetes AJAX).

- Telechargement d'un executable malicieux sous l'éfigie de facebook.

A l'heure ou ces lignes sont écrites l'équipe Facebook est en train de corriger ses failles.

XSS en mode POST
P3lo affirme que facebook a essayé de masquer ses failles en ne faisant pas passer les données dans l'url mais via une requete POST. "C'est une erreur de leur part, indique P3lo à ZATAZ.COM, lorsque le signe # apparait dans l'url, bien souvent cela indique qu'une requete post a été envoyée. Mais hélas, les variables des entêtes ou passent les requetes sont rarement filtrées. Il suffit de rejouer la requete en y mettant un code de test javascript à l'intérieur pour dévoiler la faille."

Faille de redirection
Une nouvelle faille de redirection se basant sur la direction classique avait aussi la finesse de rediriger l'internaute vers une une page usurpante.

Une redirecion qui était censée attribuer une variable h= correspondant à l'url mais qui n'était pas filtrée et donc permettait d'attribuer n'importe quel site à la redirection.

Facebook a corrigé le problème en ouvrant une page alerte [voir] indiquant "Vous êtes sur le point de quitter Facebook pour vous rendre à cette adresse (...) Pour la sécurité ainsi que la confidentialité de votre compte Facebook, n'entrez jamais votre mot de passe à moins d'être sur le site Web réel de Facebook." (Xssed)

0 commentaires

Libellés : , , , , , , ,

PIRATAGE DU SITE DU CREDIT AGRICOLE 4 CLIENTS TOUCHES


Un pirate informatique a réussi à modifier la page Internet officielle du site de la filiale belge du Crédit Agricole. Au moins quatre clients se sont fait piéger.

Le site Internet crelan-online.be a eu de la visite. L'agence Belga indique que la filiale belge du Crédit Agricole a découvert, ce mercredi matin, que son site Internet avait été attaqué par un pirate informatique.

"Aux environs de 9h30, le Crédit Agricole a constaté qu'un pirate avait adapté la page d'accueil de "Crelan Online", le site d'internet banking. Un champ supplémentaire y avait été apporté, afin de se procurer des données personnelles de clients. Jusqu'à présent, quatre clients ont signalé avoir subi des dommages", a expliqué la banque dans un communiqué de presse.

"La computer crime unit de la police fédérale (eCops) a été prévenue et collabore avec la banque pour trouver les coupables. Provisoirement, les clients ne savent plus consulter leurs comptes par le biais d'internet. Ceux qui ont des virements urgents à effectuer, sont priés de s'adresser à l'agence du Crédit Agricole la plus proche", a déclaré le CEO, Luc Versele.

Alerte sur la page de garde de la banque
Récemment, des pirates informatiques ont tenté de s'approprier des informations liées aux comptes de clients de différentes banques belges. Pour ce faire, ils installent via un virus ou un logiciel un programme, imitant de manière identique une page de l'e-banking de la banque, qui enregistre des informations sensibles liées aux comptes et mots de passe.

Crelan-online.be est un moyen de paiement sécurisé et le Crédit Agricole met tout en oeuvre pour qu'il le reste. Mais, en tant qu'utilisateur, nous vous demandons de rester vigilant. N'oubliez donc pas que, en plus de votre identification d'utilisateur et votre mot de passe, c'est principalement votre code carte qui garantit une utilisation sécurisée de Crelan-online.be. Un pirate informatique ne pourra jamais se procurer l'entièreté de votre code carte. En effet, au moment de vous connecter seuls 3 chiffres parmi les 16 de votre code carte doivent être introduits, et ces 3 chiffres sont demandés de manière aléatoire.

C'est la seconde banque belge a être visée de la sorte en moins d'une semaine. Le week-end dernier, des clients de la banque Dexia avaient été victimes d'une fraude pour plusieurs milliers d'euros.

0 commentaires

Libellés : , , , , , , ,

VIDEO--DRAGONBALL EVOLUTION LE FILM--BANDE ANNONCE



Récemment rebaptisé en Dragonball Evolution pour des raisons qui nous échappent, Dragon Ball, le film se dévoile dans une première bande-annonce officielle française. Elle révèle quelques une des grosses libertés que s'est octroyé le long-métrage, tant au niveau des personnages, que de l'intrigue d'un point de vue plus général. Heureusement les premiers Kamehameha sont là pour amuser l'assemblée... La sortie dans les salles de ce navet annoncé est programmée au 8 avril 2009.

Voici la bande-annonce qui est en version originale sous-titrée en français.






3 commentaires

Libellés : , , , , , ,

VIDEO--ZOMBIE SURVIVAL DANS COD 5







Naito 75 et ses collègues Factor, Azzdingue et Maitre Yoda nous présentent le mode Zombie Survival dans Call of Duty 5, le mode (jouable à 4) sera accessible une fois la campagne solo terminée…

Le but : organiser la défense d’une vieille baraque et résister aux assauts de zombis de plus en plus hargneux… ça a l’air bien marrant et la pression monte vite

0 commentaires

Libellés : , , , , , , , ,

VIDEO--OUVERTURE DU PLAYSTATION HOME



Le Playstation home pour PS3 est disponible aujourd’hui en téléchargement sur le Playstation Store…

Le Playstation home se veut un mix entre Second Life, les Sims et Facebook, dans cet espace virtuel communautaire persistant, vous pourrez échanger des banalités avec les autres participants, glandouiller, jouer à des ptits jeux -billard, bowling, jeux d’arcade- mater des vidéos et même faire une flash mob comme dans cette vidéo, bref tous les trucs stupides qu’on peut faire dans la vraie vie mais sans bouger ses fesses d’un seul centimètre : décidément un grand pas pour l’humanité ce Playstation Home ^^

Vous disposez d’un éditeur d’avatar assez poussé, si vous aimez jeter votre argent par les fenètres vous pourrez pousser le vice jusqu’à acheter des fringues de marque (du genre un futal Diesel pour la modique somme d’un euro 50).

Vous avez également votre espace personnel sous la forme d’un studio avec vue sur mer que vous pourrez customiser (avec des éléments gratuits ou payant); dans cette espace privé, vous pourrez inviter des potes pour discuter, écouter de la musique, regarder une vidéo ou lancer un jeu en multiplayer…

L’espace public comprend un square central, des salles de jeux (bowling, billard, jeux d’arcade), des salles de cinéma (diffusion de bandes-annonces de films, de documentaires) et un centre commercial.

D’autres bâtiments devraient rapidement voir le jour comme par exemple ceux des partenaires commerciaux de Playstation (en premier lieu des éditeurs de jeux comme Activision, Rockstar Games, Sega, Electronic Arts ou encore Ubisoft). Espérons que cet espace communautaire ne devienne pas uniquement un outil marketing, une gigantesque vitrine à pub…

Le logiciel (gratuit) fonctionne en streaming, le programme de base à télécharger pèse 77 Mo et le Playstation Home prend 3 Go de plus sur le disque dur.

0 commentaires

Libellés : , , , , , , , , ,

Inscription à : Articles (Atom)