Un pirate s'offre de la publicité sur un site de sécurité.

Par Jerome Saiz, le 03 déc 2001 à 11:09:00.

C'est un beau pied de nez : le groupe de pirates Fluffi Bunni vient de s'offrir une bannière de publicité sur le site SecurityFocus.com. Et sans même s'attaquer à ce dernier : il a suffit de détourner le serveur du fournisseur de bannières. De quoi apprendre à ne pas faire confiance à ses partenaires.

"Vous pensez tout savoir ? Vous n'avez pas idée...".
Avec son petit lapin rose et son slogan provocateur, la bannière parue ce week-end sur le site de SecurityFocus aurait pu être une vraie publicité. Mais voilà, signée Fluffi Bunni, elle prend une tout autre signification. Pour la plupart des internautes, elle est amusante. Pour les administrateurs du site web, c'est une attaque. Pour le reste du monde, c'est tout simplement le rappel que la meilleure des sécurité est inutile si les partenaires sont mal choisis.
Dans le cas de SecurityFocus.com, la faille était chez la régie publicitaire. En exploitant une vulnérabilité connue dans OpenSSH, les pirates de Fluffi Bunni sont parvenus à ajouter leur banière à la liste de celles destinées à SecurityFocus. Le serveur de publicité de la régie a ensuite fait le reste.
L'affaire n'est pas grave, mais elle a le mérite de montrer le danger d'offrir à ses partenaires un accès direct à son système d'information. Les responsables de SecurityFocus étaient certainement au courant de la faille récemment découverte dans OpenSSH, et ils l'avaient sans doute corrigée s'ils l'utilisent. Hélas, il a suffit d'un partenaire peu soucieux de sa sécurité pour compromettre le site.


La bannière insérée par Fluffi Bunni sur SecurityFocus

A voir aussi

• Verisign étend son offre de services sécurité. (08 mai 2002)
• Un guide gratuit pour surfer en toute sécurité. (25 nov 2004)
• Computer Associates offre son pack sécurité. (19 nov 2003)
• Sécurité : Microsoft interdit de publicité en Afrique du Sud. (24 mars 2003)
• Windows 2000 décroche une palme de sécurité. (29 oct 2002)