Hackers : 16 – Sony 0

16, c’est le nombre de sites appartenant à Sony et à ses filiales qui ont été hackés ces derniers temps.

Le chiffre à été atteint hier, lorsqu’un site de Sony (encore un) au Portugal à été hacké. L’attaque à été revendiquée par le même hacker que lors des ciblages sur Sony Europe, ce dernier se qualifiant d’ailleurs de « Grey Hat ».

Petite explication : vous avez le Black hat, le hacker qui ne sert « que » ses intérêts ou qui sert des intérêts privés d’un groupe de personne.
Vous avez ensuite le White hat qui s’impose comme quelqu’un qui met ses capacités aux service de l’intérêt général (avertir d’un danger sur tel ou tel site, sécuriser tel ou tel point, telle ou telle donnée, etc. etc.)

Le Grey Hat, c’est donc un peu des deux, il sert des intérêts privés mais ces derniers sont compatibles en partie avec l’intérêt général.

Le hacker, Idahc pour être précis, à informé qu’il existait au moins trois façons de hacker le site qu’il à lui même hacké : l’injection SQL, le XSS et l’injection par iFrame. C’est pas mal tout ceci quand même, je trouve que cela fait beaucoup de failles possibles.

Sur le XSS, pour résumer, Wikipédia nous dit que :

« Le principe est d’injecter des données arbitraires dans un site web, par exemple en déposant un message dans un forum, mais aussi par des paramètres d’URL, etc. Si ces données arrivent telles quelles dans la page web transmise au navigateur (par les paramètres d’URL, un message posté, etc.) sans avoir été vérifiées, alors il existe une faille : on peut s’en servir pour faire exécuter du code malveillant en langage de script (du JavaScript le plus souvent) par le navigateur web qui consulte cette page. »

Sur l’injection par iFrame, en gros, c’est une attaque qui permet de charger du code dans le navigateur, l’espace d’un temps. Sous quelques navigateurs, Internet Explorer en particulier, l’attaque consiste à faire rediriger un site vers un autre site qui lui peut contenir du code malicieux, le navigateur ne contrôle pas la redirection automatique et part gaiement se suicider sur la page corrompue.

Informations transmises, revenons-en au sujet :

Il n’y à eu « aucune » donnée sensible publiée, Idahc à récupéré un dump des adresses mails contenues de la base de donnée de SonyMusic.pt, il peut cependant dumper toute la base et donc obtenir l’ensemble des données qui y sont présentes (nom, prénom, adresse?, e-mail, etc. etc.). Un dump, c’est une copie partielle ou totale d’une base d’information.

Après un hack des Anonymous, puis d’on ne sait pas qui encore, puis de la LulzSec et maintenant de Idahc, Sony n’est définitivement pas débarrassé de ses problèmes de sécurité informatique.

[Source de l’information]  (anglais)

3 réflexions au sujet de « Hackers : 16 – Sony 0 »

  1. 16.0 c’ est du rugby… On pourra dire qu’ une équipe n’ était pas au rendez vous 🙂 vivement la 3ème mi temps entre les dg de sony et les hackers 🙂

    1. A la base, oui c’était le cas avec les Anonymous. Je pense que depuis, ça a plus dévié sur : vous vous foutez des données personnelles que vos clients vous ont confiés, on va vous faire « comprendre » que la sécurité ne se sous estime pas.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.