Les failles informatiques peuvent se cacher dans des recoins que les internautes n’imaginent pas. Dernier exemple en date : l’espace «newsletter» du candidat à la présidentielle Benoît Hamon. Sur le portail officiel de l’homme politique, benoithamon2017.fr, un espace permet de s’inscrire à la lettre d’information, diffusée par mail.
Pour recevoir cette missive, il faut rentrer un nom, un prénom, le département et une adresse électronique. Or, il est possible d’injecter dans certains de ces champs du code Javascript, potentiellement malveillant. Cette commande pirate va ensuite se nicher dans le courriel officiel envoyé par l’équipe de campagne de Benoît Hamon. Le destinataire, lui, n’y voit que du feu, car il reçoit un email de la part d’un émetteur totalement légitime. Ci-dessous une copie d’écran qui prouve l’exploitation de cette vulnérabilité.
Pourquoi est-ce grave ? Un attaquant peut aller sur le site de Benoît Hamon et inscrire directement sa cible à la newsletter en y intégrant son code malveillant. Le reste sera fait de manière automatique par la plateforme du candidat socialiste. L’attaquant peut également s’inscrire avec sa propre adresse et récupérer l’URL de la newsletter piégé pour la diffuser d’une autre manière à sa cible, par exemple en l’insérant dans un document ou via Twitter. Là encore, il sera difficile pour le destinataire de soupçonner quelque chose de malveillant car l’URL est parfaitement valide. En terme de phishing, on ne peut guère faire mieux.
Cette attaque informatique sournoise peut permettre d’injecter un virus, un ransomware, afficher une « fake news » ou réaliser toutes autres actions malfaisantes dans l’ordinateur du récepteur de la missive. Cette technique d’attaque permet également d’intercepter l’adresse IP du lecteur ou de récupérer son dernier cookie sauvegardé dans sa machine. Elle fonctionne à partir des navigateurs Firefox, Chrome, Edge, Opera et même depuis le navigateur anonyme Tor Browser.
Nous avons contacté plusieurs fois l’équipe de campagne de Benoît Hamon depuis dimanche dernier, par courriel et par Twitter. Nous avons eu un premier retour mardi soir, mais la faille n’est toujours corrigée à ce jour. Compte tenu de la facilité d’exploitation, nous avons décidé de la rendre publique.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.