Vulnérabilité sur le site de la Business Software Alliance
Les liens vers le site Internet de la Business Software Alliance pourraient cacher des actions pirates. Prudence !
Pour ceux qui ne connaissent pas la Business Software Alliance (BSA), cette entité privée regroupe de nombreuses importantes sociétés informatiques (Microsoft, Adobe, Symantec, …). La mission de la BSA, traquer les entreprises qui utiliseraient des contrefaçons de logiciels (volontairement ou non). Un cerbère qui protège donc les ayants droits et leurs créations. La BSA est aussi connue pour ses actions agressives, comme en favorisant la dénonciation anonyme.
J’ai pu constater un problème sur ce site hébergé par Microsoft. Il souffre d’une faille pouvant être exploitée à l’encontre des internautes, et de cette association. Cette vulnérabilité s’active en diffusant un lien officiel particulièrement formulé. Dans cette formulation, des commandes javascript qui pourraient, par exemple, intercepter les cookies de connexion de l’internaute visé, afficher de fausses informations (comme ma capture écran) ou encore orchestré un téléchargement malveillant ou une attaque par rebond.
La BSA a été alertée il y a 15 jours (Alerte ZATAZ 220320172101), puis le 02 avril (Alerte ZATAZ 020420172339 – BSA), par le Protocole d’Alerte ZATAZ. Des alertes via des adresses mails proposées sur le portail de la BSA (Interne et service de communication extérieur). Aucune réponse, ni correction, des chasseurs de contrefaçons.
Pour vous éviter de tomber dans le piège d’un lien malveillant provenant de BSA.ORG, et en attendant la correction, je vous invite à ne pas cliquer sur des liens BSA.ORG proposés par mails, par des forums et autres réseaux sociaux.