Nouvelle faille pour l’Agence Spatiale Européenne

En 2013, le protocole d’alerte de zataz.com avait pu permettre à l’European Space Agency, l’Agence Spatiale Européenne, de corriger quelques failles découvertes par des lecteurs de votre magazine électronique.

En ce début du mois de juillet, nouvelle vulnérabilité pour un espace de l’ESA.int. Nous aurions pu penser qu’un audit sérieux avait pu nettoyer l’espace web de toutes vulnérabilités pourtant communes et référencées par l’OWASP, comme les injections SQL ou encore les XSS. A première vue, non ! C’est cette dernière qui a été découverte. Un Cross-Site Scripting qui permet de mettre la main sur le cookie de connexion, l’affichage d’une page de filoutage dans le cœur même du site officiel.

esa

Dans l’espace, personne ne vous entendra crier

Imaginez une attaque ciblée, à destination de notre 10ème astronaute français, Thomas Pesquet ou toutes autres cibles précises et « gentiment » travaillées par des pirates professionnels, comme la Libellule team, Dragon Fly. Histoire d’être efficace, notre protocole d’alerte est passé par le CERT France et l’ANSSI afin que soit remontée rapidement l’alerte. Cela évitera à notre protocole d’alerte de finir seul, dans l’espace oueb et que ce xénomorphe ne soit exploité par un malveillant.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Poster un commentaire