Une faille exploitable sur 30% des sites

Rédigé par Clarisse de Nordnet 17 mars 2011

Aujourd’hui, lors du sommet annuel du Black Hat regroupant l’ensemble des experts de sécurité, l’Italien Marco Balduzzi présentera les résultats de son étude. Il annoncera ses découvertes concernant une nouvelle menace baptisée HPP (HTTP Parameter Pollution), qui « permet à un hacker d’injecter un paramètre au sein des URL générées par une application Web ».

L’attaque consiste à modifier un paramètre en ajoutant un second paramètre disposant d’une dénomination similaire mais d’une valeur différente. Il déclare au magazine Forbes que « vous pouvez changer la valeur écrite au sein d’une application et lui demander d’opérer une action qu’elle n’est pas censée faire. Si vous contrôlez les paramètres vous pouvez faire n’importe quoi ». Les conséquences de cette attaque sont étroitement liées au fonctionnement du service Web ciblé.

Ainsi, 30% des sites Internet sur la Toile abriteraient cette faille potentiellement exploitable. C’est le cas des sites de Google, Facebook, Paypal, Microsoft mais également Symantec, qui présenteraient des pages vulnérables à cette attaque et ont été avertis par le spécialiste. Les vulnérabilités HPP ont été découvertes il y a 2 ans et pourraient donc être exploitées à grande échelle.

Article précédent

Vidéo – Le répondeur de messagerie du Pack Relais

Article suivant

Fuite de données pour une importante mutuelle française

Laissez un commentaire Annuler la réponse

Nordnet se réserve le droit de publier ou de ne pas publier le commentaire. Le champ du commentaire n’est pas destiné à recevoir une question liée à de l’aide ou de l’assistance. Si vous avez besoin d’aide, vous pouvez consulter la page d’assistance disponible sur le site de Nordnet.com à l’adresse : https://assistance.nordnet.com/ ou contacter le service clients (appel non surtaxé) au 3420.

Ces informations sont nécessaires au traitement de votre commentaire à moins qu’elles ne soient indiquées comme étant facultatives. Elles font l’objet d’un traitement informatisé, sous la responsabilité du PDG de Nordnet chargés de l’exécution de votre demande et de toute suite qui pourraient en résulter. Conformément aux dispositions légales et réglementaires applicables, vous disposez notamment d’un droit d’accès, de rectification, d’opposition, pour des motifs légitimes, au traitement de ces informations, à la transmission à des tiers des informations vous concernant, ou à la réception d’informations commerciales. Pour exercer vos droits, veuillez adresser un courrier à Nordnet Pôle Clients – 20 rue Denis Papin – CS 20458 – 59664 Villeneuve d’Ascq Cedex, ou un courriel à l’adresse : coordonnees@nordnet.com en justifiant de votre identité et en précisant le cas échéant les coordonnées, le média et le contrat concernés (seules les demandes portant sur les données personnelles recevront une réponse). Sans préjudice des obligations de conservation, ces informations ne sont conservées, en base active, sous une forme permettant l’identification que pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. En complément de ce qui précède, consultez notre politique de traitement des données à caractère personnel de Nordnet.