Un code Javascript permet de piéger des boutiques dans le monde. Et en France ?

Posted On 13 Sep 2018

Tag: filoutage, fuite, hameçonnage, infiltration, Internet of Things

Un Javascript hébergé par la société Feedify permet de piéger plusieurs milliers de boutiques de par le monde. En France, même sanction pour plusieurs billetteries d’espaces culturels.

Piéger ! Le site Data Security Breach revient sur la découverte d’une faille dans une bibliothèque Javascript employée par la société Feedify. Ce code, quand il n’est pas modifié par des pirates, permet à des boutiques et hôtels de réaliser des transactions entre eux et leurs clients d’internautes. Le Js de Feedify malmené plusieurs fois par des pirates. Il a permis de lancer un cheval de Troie, MageCart. Un outil d’interception de données aperçu chez British Airways et de Ticketmaster.

Et en France, tout va bien, comme d’hab ?!!

En France, voilà plus de trois mois que le Protocole ZATAZ tente de faire corriger le même type de faille sur plusieurs dizaines de sites web exploitant une billetterie pour une salle de spectacles, un cinéma, … Dans la foulée, en juin 2018, j’alertais dans la foulée la CNIL et l’ANSSI. Et devinez quoi ?! La faille est toujours présente. Elle permet, comme pour le cas de Feedify, d’injecter du code ; télécharger un outil malveillant de type MageCart ; un script via Pastebin ou encore, comme dans les captures écrans proposées dans cet article, créer un espace de vente, offrant la possibilité de télécharger les données bancaires d’un utilisateur non averti.

En attendant la correction

Je vous déconseille fortement d’utiliser les espaces de billetterie du Planétarium de Vaulx-en-Velin ; de la billetterie des points de vente des boutiques Suisse Migros ; l’auditorium de Lyon ; … Je vous propose aussi de bien vérifier l’adresse web proposée par mail, réseaux sociaux. Tapez vous même l’adresse dans votre butineur préféré.

La billetterie du château de Versailles était concernée. Dans ce cas, l’ANSSI [RM#52502 et RM#52508] a pu faire corriger la faille rapidement après le protocole ZATAZ n’270620182358.

Pour finir, deux détails loin d’être négligeables en cette période post-RGPD : aucun de ces sites n’est utilisable en HTTPS : certificat invalide et redirection vers HTTP. Les mentions légales liées à la collecte de données personnelles sont également affligeantes (inexistantes…).

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

L’essor des vols de cartes SIM d’ascenseurs et de bornes d’urgence : un fléau technologique exploité par les cybercriminels

Posted On 08 Oct 2024

, By Damien Bancal

8 Comments

pierrockc 13/09/2018 at 21:47 Reply

Se venter expert et confondre Java et JavaScript ?!
- Damien Bancal 14/09/2018 at 09:59 Reply
  
  Bonjour Pierre,
  Pardon de cette erreur « venteuse ». Heureusement que je me « vante » plus de mes quelques erreurs, avec sourire !
  J’espère que vous avez lu le papier, qui lui, a su répondre à votre attente. Mais ça, à première vue, vous le gardez secret, au fond de votre sympathique commentaire.
Mickael 14/09/2018 at 09:05 Reply

A remplacer dans le titre java par javascript ou js, sinon on ne parle pas de la même chose
- Damien Bancal 14/09/2018 at 09:54 Reply
  
  Bonjour Mickaël, Matthieu,
  Oui, tout à fait. Merci, corrigé 🙂
Matthieu BROUILLARD 14/09/2018 at 09:29 Reply

Java != Javascript, merci de ne pas écrire n’importe quoi (titre faux) qui pourrait influencer certains décideurs.
Pingback: ZATAZ Rétrospective 2018 : le web, plus troué qu'un gruyère ? - ZATAZ
Pingback: ZATAZ Attaque bancaire à l'encontre de plusieurs boutiques Françaises - ZATAZ
Pingback: ZATAZ Le géant de commerce américain Macy, piraté - ZATAZ