Les cartes bancaires sans contact et la confidentialité des données

Le paiement sans contact est une fonction disponible sur plus de 60% des cartes bancaires en circulation. Les données bancaires étant des éléments sensibles, elles doivent naturellement être protégées.

Est-ce vraiment le cas ? Continuer la lecture de Les cartes bancaires sans contact et la confidentialité des données

Hackers : 16 – Sony 0

16, c’est le nombre de sites appartenant à Sony et à ses filiales qui ont été hackés ces derniers temps.

Le chiffre à été atteint hier, lorsqu’un site de Sony (encore un) au Portugal à été hacké. L’attaque à été revendiquée par le même hacker que lors des ciblages sur Sony Europe, ce dernier se qualifiant d’ailleurs de « Grey Hat ».

Petite explication : vous avez le Black hat, le hacker qui ne sert « que » ses intérêts ou qui sert des intérêts privés d’un groupe de personne.
Vous avez ensuite le White hat qui s’impose comme quelqu’un qui met ses capacités aux service de l’intérêt général (avertir d’un danger sur tel ou tel site, sécuriser tel ou tel point, telle ou telle donnée, etc. etc.)

Le Grey Hat, c’est donc un peu des deux, il sert des intérêts privés mais ces derniers sont compatibles en partie avec l’intérêt général.

Le hacker, Idahc pour être précis, à informé qu’il existait au moins trois façons de hacker le site qu’il à lui même hacké : l’injection SQL, le XSS et l’injection par iFrame. C’est pas mal tout ceci quand même, je trouve que cela fait beaucoup de failles possibles.

Sur le XSS, pour résumer, Wikipédia nous dit que :

« Le principe est d’injecter des données arbitraires dans un site web, par exemple en déposant un message dans un forum, mais aussi par des paramètres d’URL, etc. Si ces données arrivent telles quelles dans la page web transmise au navigateur (par les paramètres d’URL, un message posté, etc.) sans avoir été vérifiées, alors il existe une faille : on peut s’en servir pour faire exécuter du code malveillant en langage de script (du JavaScript le plus souvent) par le navigateur web qui consulte cette page. »

Sur l’injection par iFrame, en gros, c’est une attaque qui permet de charger du code dans le navigateur, l’espace d’un temps. Sous quelques navigateurs, Internet Explorer en particulier, l’attaque consiste à faire rediriger un site vers un autre site qui lui peut contenir du code malicieux, le navigateur ne contrôle pas la redirection automatique et part gaiement se suicider sur la page corrompue.

Informations transmises, revenons-en au sujet :

Il n’y à eu « aucune » donnée sensible publiée, Idahc à récupéré un dump des adresses mails contenues de la base de donnée de SonyMusic.pt, il peut cependant dumper toute la base et donc obtenir l’ensemble des données qui y sont présentes (nom, prénom, adresse?, e-mail, etc. etc.). Un dump, c’est une copie partielle ou totale d’une base d’information.

Après un hack des Anonymous, puis d’on ne sait pas qui encore, puis de la LulzSec et maintenant de Idahc, Sony n’est définitivement pas débarrassé de ses problèmes de sécurité informatique.

[Source de l’information]  (anglais)