Passer au contenu

Présidentielle: un site de campagne de François Fillon vulnérable aux adresses web piégées

L’infrastructure web de la campagne de François Fillon souffrait d’une nouvelle faille. Alertée, l’équipe du candidat des Républicains a finalement corrigé le problème.

Fin février, l’équipe de campagne Internet de François Fillon corrigeait plusieurs dizaines de failles visant le portail numérique du candidat à la présidentielle de 2017, fillon2017.fr. Dans le lot des vulnérabilités, un WordPress qui n’était pas à jour depuis un an et des plugins vieillissants. Bref, du pain béni pour des pirates sachant manipuler certains outils pour infiltrer le site web. Il y a dix jours, via un courriel électronique envoyé au service presse du politicien, nous avons tenté de les alerter au sujet d’une nouvelle faille. Cette fois, elle vise une application mobile, que l’on peut télécharger depuis le site « https://www.app-fillon2017.fr ».

Or, ce domaine n’est absolument pas sécurisé. Les utilisateurs sont authentifiés sur l’application non pas via des cookies mais par des paramètres envoyés à chaque requête, directement dans l’URL. Il s’avère qu’un pirate peut, dans ce cas, aisément forger des URL piégés qui, lorsque l’utilisateur clique dessus, permettent d’exécuter du code Javascript directement sur sa machine. Ce qui ouvre la porte à tout un tas d’intrusions.

L’attaquant peut, par exemple, intercepter les cookies de connexion de l’internaute ou provoquer le téléchargement d’un code plus malveillant encore. Comme l’application  est connectée aux réseaux sociaux des utilisateurs, on pourrait également imaginer une URL piégée qui usurpe leur identité et  poste des messages en leur nom sur Twitter et Facebook. Ci-dessous une capture d’écran qui prouve l’existence de cette faille.

DR – Une fois cliquée, cette URL associé au site de François Fillon ouvre une fenêtre d’entrée, ce qu’elle ne devrait pas.

Ce type de vulnérabilité est ultra-basique. Pour s’en prémunir, il aurait suffi d’instaurer un filtre au niveau des paramètres d’URL, ce qui n’a pas été fait. Nous avons contacté l’équipe de campagne de François Fillon à plusieurs reprises, sans aucune réponse. Compte tenu de l’extrême facilité d’exploitation de cette faille, nous avons décidé de la rendre publique.

Pour se protéger de ce genre d’attaque informatique, ne cliquez sur aucun lien vous proposant de visiter un espace. Préférez taper vous-même au clavier, dans la barre dédiée de votre navigateur préféré l’adresse communiquée par courriel ou sur les réseaux sociaux. Pour finir, ne couplez jamais vos réseaux sociaux avec des applications qui ne sont pas éditées par Twitter, Facebook, Linkedin eux-mêmes ! Il en va de votre sécurité et de votre réputation 2.0.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Damien Bancal