ASafety - AntiSecurity Un projet qui vous tiendra @coeur...

[x[@♥]]

Quand l'Hadopi délivre des résultats pirates via une faille XSS...

J'ai eu le temps de l'analyser rapidement avant qu'elle soit bloquée. Sympathique en tout cas, et vraiment amusant le détournement qui en a été fait ^^ !
Je leur retire mon chapeau !

Peut-on exiger des internautes qu'ils sachent sécuriser leur accès à Internet, sans être soi-même un modèle de sécurisation ? Pour mettre en évidence la contradiction, le président du Parti Pirate a exploité une faille du site de l'Hadopi qui lui a permis d'utiliser le formulaire de recherche des offres légales pour trouver des fichiers sur le site The Pirate Bay.

Mise à jour : la faille a été corrigée en milieu de matinée ce mercredi. Preuve que l'Hadopi sait être réactive.



Le président du Parti Pirate, Paul Da Silva, s'est bien amusé. Avec le plus grand sérieux. Mardi, nous vous expliquions que pour accorder ses futurs labels d'offres légale aux premiers candidats (Deezer, Beezik et VidéoAVolonté.com), l'Hadopi avait trahit les textes réglementaires en préférant mettre en place un moteur de recherche des oeuvres plutôt qu'en publiant la liste complète des oeuvres à labelliser. Or ce moteur de recherche n'est pas sécurisé.

Sauf correction entre le moment où nous publions ces lignes et le moment où vous les lisez, le fait de passer par ce lien conduit vers le moteur de recherche de l'Hadopi, au comportement étrange. Lors de la saisie, le moteur se transforme en recherche sur The Pirate Bay, et les résultats affichés sont ceux du célèbre site de liens BitTorrent. La faute à une faille XSS qui permet d'injecter du code dans les URL et de modifier le comportement des pages. Que ce soit pour conduire vers TPB, ou faire autre chose de plus discret ou mal intentionné. Ca n'est pas le site de l'Hadopi qui est compromis, mais la sécurité de ceux qui visiteraient de bonne foi le site de l'Hadopi par un tel lien modifié, qu'ils auraient reçu, par exemple, par e-mail.

Or comme l'explique Paul Da Silva sur son blog, cette faille n'est pas anodine venant de l'Hadopi. C'est la deuxième fois qu'une telle faille est décelée sur Hadopi.fr. Or, "rappelons que la Hadopi demande à chaque personne de sécuriser son accès à Internet, ce qui, si c’était possible, révèlerait de qualifications d’un ingénieur en sécurité réseau", rappelle le président du Parti Pirate. Il souhaitait donc "savoir si [l'Hadopi], avec ses moyens, s’appliquait lui même la rigueur qu’il exige de monsieur et madame tout le monde", ce qui n'est pas le cas.

"Là où on pourrait croire que la Hadopi aurait tiré les leçons de la première démonstration, j’ai pu trouver hier, en 6mn30, une nouvelle faille sur le site de l’autorité… Selon la loi il s’agit donc du second avertissement… Au prochain il faudra songer à couper la connexion chez Hadopi ?", demande Paul Da Silva.

L'injection décodée :

Code: Tout sélectionner

<h2 class="titre_standard">Moteur de recherche </h2>
<p>&nbsp;</p>
<p>&nbsp;</p>
...<div class='center' id='tablename_logo'><img src='http://upload.wikimedia.org/wikipedia/commons/thumb/1/16/The_Pirate_Bay_logo.svg/200px-The_Pirate_Bay_logo.svg.png' alt='deezer' />
</div>
<div class='center'>
<form id='simple' action='http://thepiratebay.org/s/' method='GET' style='display:block'>
<div class='ligne_form'>Mot(s) clé(s) :
<input type='text' maxlength='150' name='q' id='edit-firstname' size='54' maxlenght='100'



value='' class='form-text' />
<input type='hidden' name='page' value='0' />
<input type='hidden' name='orderby' value='99' />
</div>
<br/>
<input type='image' src='/static/sites/all/themes/hadopi/images/boutons/btn_envoyer.png' class='form-submit' id='edit-submit' name='submit'>
<br/>
<a href='#advanced' id='show_advanced'>Recherche avancée</a>
</form>
</div>

Difficile d'effectuer une injection cross-CSS, pourtant ça semblait faisable.
Toutefois les évènements de l'input initial ont permis cette injection éphémère.