Libertés Numériques

Tout le monde connaît maintenant les fameux QR-Codes, que l’on croise un peu partout, tant sur le Web que dans la rue ou les magazines. Ils sont pratiques et lisible avec plein de matériel différent. Mais quid de la sécurité de ce système ? Un internaute s’est penché dessus…

Vous qui avez un smartphone ou une tablette, vous avez surement dû utiliser un QR-Code, qui permet de stocker toutes sortes d’informations. Un internaute connu sous le pseudonyme de Shirobi a contacté UnderNews après avoir fait une petite découverte et un PoC (Proof-of-Concept, ndlr). Résultat, il a forgé un QR-Code qui, une fois décodé et lu, génère une faille de type XSS du côté de l’utilisateur ! Pas mal, il fallait y penser.

Il a donc généré le QR-Code puis il a utilisé un service en ligne comme tant d’autre afin de le décoder. Et là surprise  une belle alerte JavaScript s’affiche à l’écran ! Pour ceux qui veulent tenter l’expérience, commencez par vous procurer le QR-Code via cette URL ou ci-dessous puis allez le décoder sur le site Esponce.

« XSSED BY SHIROBI » s’affiche à l’écran. Cela est bien sûr compromettant dans le cadre de certaines manipulations. Des applications non protégées et/ou mal développées pourraient permettre ce genre d’exécution de code. Code qui peut bien entendu s’avérer bien plus malveillant que ce simple message !

UnderNews en profite aussi pour suggérer un autre moyen de détournement qu’un pirate pourrait utiliser (et cela s’est déjà vu à Paris ). Un pirate peut forger un QR-Code contenant une URL renvoyant vers un site infecté et créé pour propager un malware via Drive-by-Download par exemple. Il va ensuite chercher des publicités par exemple utilisant les QR-Codes et coller le sien discrètement par dessus l’original. Facile, rapide et tous ceux qui liront le code pourront être potentiellement victime d’une infection de leur système.

Réfléchissez donc à deux fois avant de scanner des QR-Codes à tout va !

Le pirate français XIIV et le groupe Unkn0wn font encore parler d’eux : ils ont mis en ligne une liste d’une dizaine d’universités prestigieuses vulnérables à des attaques de type XSS. Des captures d’écran sont à l’appui.

Alerte sécurité – Le site officiel de la banque Crédit Agricole du Languedoc semble être victime d’une vulnérabilité de type XSS. Faille critique étant donné la nature du site… Une capture d’écran à été diffusée par le site « XSS in your ass! ».

La capture d’écran montre que ce serait le moteur de recherche du site bancaire qui pose problème. Une faille XSS, qui, rappelons-le, peut s’avérer critique sur un site de cette nature : un pirate pourrait l’utiliser pour dérober la session et le cookie d’un utilisateurs connecté, ce qui lui permettrait d’accéder au service en ligne du compte bancaire de la victime.

La banque vient d’être alertée via son compte Twitter…

Voila qui est insolite ! Le pirate français XIIV du groupe Unkn0wn a présenté et exploité une faille XSS sur un sous domaine du site army.mil. Après les universités, america.gov et senat.gov, voici son nouvel exploit !

La vulnérabilité se base sur un faille XSS qui permet d’exécuter du code JavaScript et HTML au sein du site officiel army.mil. Le moteur de recherche est exploité et des messages JS sont exécutés. Le jeu TETRIS est inclu via une iFrame externe hébergé à l’adresse http://www.unkn0wns.tk/tetris.