Prudence au site de l’ARCEP, une faille toujours active
Le site web de l’ARCEP, l’Autorité de régulation des communications électroniques et des postes, pourrait être utilisé par des pirates informatiques. L’ANSSI a été alertée.
Si la faille parait bénigne, un XSS (Cross-Site Scripting) n’est cependant à prendre à la légère. Cette vulnérabilité est d’ailleurs classée 3eme risque de sécurité informatique par l’Open Web Application Security Project (OWASP).
Avec un XSS, par exemple, il est possible d’intercepter les cookies, les mêmes que l’Europe souhaite contrôler, ou encore afficher un message particulier sur le site faillible (phishing) ou orchestrer un téléchargement malveillant. Des cyberattaques possibles via l’url officiel de l’espace web incriminé. Il est donc conseillé de faire attention aux urls que vous pouvez recevoir par courriel, lire sur un site, forum ou réseau social.
En cliquant sur un lien particulier formulé, l’action malveillante peut-être lancée. Une activation qui peut aussi s’orchestrer via un code automatisant l’attaque dès une connexion sur le site faillible. Comme par exemple avec l’attaque du ransomware Bad Rabit. C’est le cas pour le site de l’ARCEP, l’Autorité de régulation des communications électroniques.
L’entité étatique a été alertée début octobre. En attendant une correction qui ne devrait pas tarder, prudence aux liens concernant l’ARCEP. D’autant plus que l’autorité a dévoilé, mardi 17 octobre, un espace de signalement. Mission de cet espace, baptisé « J’alerte l’ARCEP« , permettre aux particuliers, entreprises … d’alerter sur des dysfonctionnements rencontrés avec les opérateurs télécoms.
A note que le Protocole ZATAZ a fait corriger, en alertant l’ANSSI, trois autres failles visant cette fois un espace du Commissariat à l’énergie atomique et aux énergies alternatives (CEA), ainsi que du Fond Social Européen en France.