Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Compromission de site web : Détournement de trafic

Compromission de site web : Détournement de trafic
2008-10-102013-02-11sécurité applicativefr
La compromission d'un site Internet peut passer inaperçue pendant longtemps, surtout si l'attaquant prends soin de ne pas effectuer de changement dans les pages même su site. Dans le cas qui nous intéresse ici, l'attaquant redirige les requêtes vers un site malicieux uniquement si les...
Publié le 10 Octobre 2008 par Jean-François Audenard dans sécurité applicative

Vous avez un petit site Internet qui présente vos activités et votre savoir-faire. Ce site web a été mis en place par une société tierce spécialisée dans le domaine (une web-agency) qui se charge en outre de faire les modifications quand cela est nécessaire.
Ce site web est hébergé sur les plateformes d'un opérateur ou prestataire pour un coût de l'ordre de 40€/mois voir moins selon les services souscrits.

Beaucoup de petites sociétés comme les PME/PMI devraient se retrouver dans cette description.

Maintenant, imaginez deux minutes, que votre site web est attaqué par un "pirate". Le grand classique c'est que ce dernier change la page d'accueil afin d'y afficher un message de type "politique" ou "revendicatif" ou alors tout simplement pornographique... Le coté intéressant, c'est que vous rendez rapidement compte (ou l'un de vos clients...) que quelque chose ne tourne pas rond...

Mais cela serait trop simple... trop évident...

Dans le cas présenté par le SANS ISC dans son mémo du Jeudi 9 octobre intitulé "Watch that .htaccess file on your web site" l'attaquant est beaucoup plus astucieux tout en restant diablement efficace.

Via une manipulation d'un fichier de configuration ".htaccess", il détourne les visiteurs vers un autre site que le votre, et ce uniquement si ils arrivent depuis un moteur de recherche...
Si par contre, vous consultez votre site depuis un bookmark ou un lien provenant d'un site d'un partenaire ou d'un mail, la page habituelle s'affiche...

Ce petit fichier ".htaccess" est très souvent "oublié" et parfois même incompris de beaucoup de personnes alors qu'il permet de faire beaucoup de choses intéressantes (bonne ou mauvaises comme c'est ici le cas).

PS: Sans être juriste, votre responsabilité pourrait être engagée si vous n'avez pas fait ce que vous deviez pour sécuriser votre site Internet (ou si vous laissez les choses trainer pour les corriger). Rappelez-vous que c'est votre site qui renvoie les internautes vers des pages pouvant contenir du contenu illicite ou encore des programmes d'exploitation de failles...

5 Commentaires

  • 30 Octobre 2008
    2008-10-30
    par
    Bien que le sujet soit ici un peu "off-topic" (Cet échange aurait plus sa place sur les forums du site orange.fr), je vais tenter de répondre.
    Ce fonctionnement peut effectivement être sujet à débat : Sur le fond, on se retrouve sur le dilemme "sécurité contre facilité d'utilisation". Sans répondre à cette question (cela n'est pas du périmètre des offres entreprises), ce fonctionnement est documenté et accessible sur le site Interne d'Orange :
    http://www.orange.fr/bin/frame.cgi?u=http%3A//assistance.orange.fr/1418....
    Extrait ".....Vous n'avez pas créé de compte utilisateur, c'est-à-dire de boîte aux lettres, complémentaire.
    vous disposez alors d'un seul compte utilisateur et n'avez donc pas besoin de vous identifier pour accéder à la messagerie ou à d'autres services. Il vous suffit de cliquer sur le lien du service.

    Par contre, toute personne que vous convierez à profiter de votre abonnement Internet Orange pourra accéder à vos services. Aussi, nous vous recommandons dans ce cas de créer pour ces personnes des comptes utilisateurs spécifiques......."
    Pour ceux qui souhaitent savoir comment créer un nouveau compte l'URL suivante vous en dira plus :
    http://www.orange.fr/bin/frame.cgi?u=http%3A//assistance.orange.fr/2436....
  • 25 Octobre 2008
    2008-10-30
    par
    Ne serait-ce pas à Orange de mettre en place un autre type de contrôle ? Chez d'autres Fournisseurs nous avons la chance de devoir nous identifiés....

    Enfin bon, pour Madame Michu au fin fond du cantal, il est clair que c'est plus simple...Et tout le monde le sait, c'est un cas d'école
  • 18 Octobre 2008
    2008-10-30
    par
    Kedoc
    Bonjour,

    Pour répondre aux commentaires : si je suis d'accord sur le fond, le problème est un poil plus compliqué sur la forme. En effet, lorsque l'on dispose d'un compte Orange Internet, et si on n'a qu'un compte client, on est automatiquement identifié par son adresse IP, et on ne nous demande pas vraiment notre avis (on ne nous en informe pas d'ailleurs !). Il est même impossible de se "déconnecter" (si, si ! j'ai essayé).
    Je ne connais d'ailleurs pas d'autre FAI qui fassent ceci.

    Ce qui fait que si l'on partage sa connexion wifi, on rencontre le problème exposé plus haut. A ma connaissance, la seule solution (qui ressemble plutôt à du bricolage mais bon...), c'est de créer sur son compte Orange un second compte utilisateur (même fictif !). Ainsi, l'auto-connexion forcée par adresse IP ne fonctionne plus.

    Je tenderais tout de même plutôt à faire parti des gens qui pensent que c'est une faille.
  • 16 Octobre 2008
    2008-10-30
    par
    Audenard Jean-François
    Bonjour et merci pour le feedback.
    Au vu des messages échangés et du point que j'ai pu faire en interne avec les personnes en charge des offres Internet grand public, le problème que vous avez identifié semble assez classique.
    Nous avons :
    - Un accès Internet grand public
    - Un hotspot Wifi d'un tiers utilisé pour gérer l'accès au service
    ---> Sur le fond rien de bien particulier, SAUF qu'ici il semble que le propriétaire du compte ai coché l'option "se souvenir de moi" au niveau de son espace client. Comme cette fonction est basée sur (entre autres) l'adresse IP, toute personne connectée à la borne wifi se retrouve de facto authentifiée !
    C'est un bon cas d'école : Un montage d'éléments sécurisés peut ne pas être sécurisé du tout.
    Pour remettre cela en ordre : Une action sur l'espace client suffit. Simple et efficace mais il faut y penser !
    Je vous encourage à alerter l'hôtel de ce problème afin qu'ils puissent corriger le problème.
    Salutations.
    JF
  • 14 Octobre 2008
    2008-10-30
    par
    Que fait lorsque que la faille provient d'un tiers ?
    http://localh0st.blogspot.com/2008/10/quand-orange-veut-nous-aidez.html

    Il y a-t-il un solution à cela ?

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage