a la une 04/11/2009 à 18h30

Aujourd'hui, c'est pub ouverte sur le site d'Apple

Fausse pub pour la boutique Rue89 sur le site d'Apple

Dans la nuit de mardi à mercredi, un petit plaisantin a fait le bonheur de milliers d'internautes en plaçant une publicité pour Windows 7 sur le site anglophone d'Apple iTunes, en raison, semble-t-il, d'une faille XSS. Le problème a vite été réglé par la firme américaine, mais la faille subsiste sur le site français.

Par exemple, en suivant ce lien, on pourrait croire qu'Apple effectue la promotion des T-shirts Rue89. Si si, il s'agit vraiment du site Apple.com/fr, comme on peut le vérifier en cliquant sur un des liens en bas de la page.

Alors forcément, l'URL fait plusieurs dizaines de kilomètres de long, et n'est pas très pratique à faire « buzzer ». Sauf qu'en passant par un réducteur d'adresses web du type u.nu (un des plus courts), on obtient une adresse comme celle-ci : http://u.nu/53sr3. Beaucoup plus simple à relayer pour qui voudra envoyer à ses amis la photo de son bébé, de son chien ou de sa plante verte dans le cadre insolite (ou avantageux, selon les goûts) du site Internet de la marque.

Contactée par Rue89, Apple n'a pas encore donné suite à nos appels. Selon Colin, informaticien à Rue89, ce genre de faille serait plutôt bénigne pour Apple, et même volontaire de la part de la firme, dans la mesure où elle permet à ses clients d'entrer eux-mêmes le nom du titre et de l'artiste qu'ils veulent vendre sur le site iTunes :

« En entrant sur le site, c'est comme si tu parvenais à entrer dans la cour d'un château fort. Mais une fois que tu es dans la cour, tu ne peux pas aller plus loin car les portes sont trop épaisses. »

Reste qu'une pub Windows sur le site de l'« ennemi » de toujours Apple, ça fait tache... La faille ne devrait pas rester longtemps sur le site français.

► Ajout 5/11/2009 13h56 : la faille a été comblée sur le site iTunes France.

Aller plus loin

Sur Rue89
Apple relance la guerre des pubs avec Microsoft
Sur Rue89
Apple : culte du secret et inquiétante paranoïa
Sur Rue89
Sur iTunes, pour 0,69 euro, t'as plus rien...
Sur apple.com
La (fausse) page promotionnelle d'Apple pour les t-shirts Rue89
Sur imgur.com
Une capture d'écran de la fausse pub pour Microsoft
Sur wikipedia.org
L'article consacré aux failles XSS, sur Wikipedia
Sur rue89.com
Windows 7 veut nous faire cliquer avec les doigts sur l'écran

22473 visites
19 réactions

TAGS

Fermer

Rebondir sur Rue89 Eco

Vous devez être connecté pour commenter : or inscrivez-vous

monOpinion-

Posté à 19h12 le 04/11/2009
Ce genre de faille tel quel est en fait assez bénin, car le contenu sur le serveur n'est pas modifié. Le changement s'opère en réalité « coté navigateur », et il est surtout dangereux pour l'utilisateur, car on peut imaginer que le pirate fasse en sorte d'afficher un formulaire login/mot de passe qui lui retransmettrait ces informations sensibles au moment de la validation. Couplé à une méthode de pishing c'est donc potentiellement très dangereux.
- Partager
6
Pot_de_chambre répond à monOpinion-
Touriste

Posté à 20h17 le 04/11/2009

Internaute
Touriste
Seulement trois variables peuvent être modifiées sur la page :
- Le nom du morceau recherché (avant le « by ») ;
- Le nom du site partenaire (après le « by ») ;
- Une image liée.
Pas de quoi faire du pishing. Pas de quoi faire grand chose d'ailleurs puisqu'il est impossible d'insérer un lien, ou plus compliqué (comme un formulaire). Tout au plus de quoi faire quelques blagues.
- Partager
2
monOpinion- répond à Pot_de_chambre

Posté à 22h08 le 04/11/2009
Les variables sont « censées » remplacer logiquement un titre, un lien et une image, mais tout le code HTML y est interprété sans restriction. En passant 5 minutes dessus j'ai pu afficher un formulaire :

Lien

Nul doute qu'avec un peu de javascript/DOM et de la patience je pourrais faire un formulaire crédible.

A noter au passage que si vous utilisez l'addon « NoScript » de Firefox, vous êtes prémunis contre ce genre d'attaque ! Je viens d'en faire l'expérience à l'instant !
- Partager
3

oliviercharavel
- Posté à 18h57 le 04/11/2009
Enorme. : -)
- Partager
1
- milou83 répond à oliviercharavel
  
  Posté à 21h12 le 04/11/2009
  on n'a pas de petrole ,mais des idées.
  il veulent nous piqué(s) les idées ! ! ! ! ! ! ! ! ! !
  - Partager
  0
monOpinion-

Posté à 19h12 le 04/11/2009
Ce genre de faille tel quel est en fait assez bénin, car le contenu sur le serveur n'est pas modifié. Le changement s'opère en réalité « coté navigateur », et il est surtout dangereux pour l'utilisateur, car on peut imaginer que le pirate fasse en sorte d'afficher un formulaire login/mot de passe qui lui retransmettrait ces informations sensibles au moment de la validation. Couplé à une méthode de pishing c'est donc potentiellement très dangereux.
- Partager
6
- Pot_de_chambre répond à monOpinion-
  Touriste
  
  Posté à 20h17 le 04/11/2009
  
  Internaute
  Touriste
  Seulement trois variables peuvent être modifiées sur la page :
  - Le nom du morceau recherché (avant le « by ») ;
  - Le nom du site partenaire (après le « by ») ;
  - Une image liée.
  Pas de quoi faire du pishing. Pas de quoi faire grand chose d'ailleurs puisqu'il est impossible d'insérer un lien, ou plus compliqué (comme un formulaire). Tout au plus de quoi faire quelques blagues.
  Partager
  
  2
  - monOpinion- répond à Pot_de_chambre
    
    Posté à 22h08 le 04/11/2009
    
    Les variables sont « censées » remplacer logiquement un titre, un lien et une image, mais tout le code HTML y est interprété sans restriction. En passant 5 minutes dessus j'ai pu afficher un formulaire :
    
    Lien
    
    Nul doute qu'avec un peu de javascript/DOM et de la patience je pourrais faire un formulaire crédible.
    
    A noter au passage que si vous utilisez l'addon « NoScript » de Firefox, vous êtes prémunis contre ce genre d'attaque ! Je viens d'en faire l'expérience à l'instant !
    
    Partager
    
    3
    - rue92 répond à monOpinion-
      
      Posté à 00h13 le 05/11/2009
      
      monOpinion a raison, et Colin Verot se trompe en arguant que cette faille serait bénine pour Apple. Pour l'intégrité du site oui, mais pas pour l'image de la marque, or que compte plus que l'image pour Apple ?
      
      En développant l'idée de monOpinion on arrive donc à créer un véritable formulaire pouvant servir par exemple à voler un login/mdp de iTunes, bref créer des liens de pishing tout à fait dommageable pour Apple.
      
      Partager
      
      2
    - malkav répond à monOpinion-
      
      Posté à 02h21 le 05/11/2009
      
      tout le DOM est modifiable, l'image pourrais tres bien etre un GIFAR, y'a aucune validation d'entrée, et aucune validation de sortie.
      alors, sauvés par le fait que le xss soit reflectif ?
      pas vraiment, on baisse peut etre d'un cran dans la persistance, au mieux.
      mais je peux toujours :
      1 : executer du code coté client
      2 : injecter des éléments de tierce partie dans le DOM d'apple.com
      
      la on en rigole, et on vend des tshirt, mais c'est exactement le genre de faille qui font distribuer des scareware a nytimes.com, utilisent le pagerank google d'un site (parce que apple, c'est bien connu, ils ont un tout petit pagerank) pour promouvoir un de vos milliers de blogs autogénérés qui servent de gateway a un autre malware du genre fake flash codec. bah oui, ma maman, si apple.com lui dit qu'il faut qu'elle installe un codec pour voir une vidéo sur apple.com en cliquant ici, elle est sage et elle clique ici.
      
      donc « bénin » ? non. la fin du monde ? certainement pas. c'est encore une de ces milliers de faille xss qui va atterir sur xssed.com, qui sera résolue (ou pas, cf le ratio reported/fixed sur le même site), et qui en attendant met doublement a mal les utilisateurs du site (potentiellement, j'ai pas connaissance d'une exploitation active de cette faille précise) et apple dont les mots d'ordre (marketing) ont toujours été « simplicité, sécurité, design » (pour le coup, on rigolerais bien a leur faire un css géocities des années 90 a base de banniere gif, de tags et de webcounter xiti)
      
      mais ceci etant dit, je suis tres content de voir ce genre de chose apparaitre ailleurs que sur sla.ckers.org, parce qu'il y'a plus de chance que quelqu'un qui a les moyens de changer les choses (ie : budgeter les 3 jours/homme pour boucher le trou, et peut être même si c'est un grand fou, un audit complet de leur code frontend) lise rue89 que les sites conçu par des techs, pour des techs.
      
      Partager
      
      2
    2 autres commentaires
.Lycurgue.
Etudiant
- Posté à 19h43 le 04/11/2009
- Internaute
  Etudiant
en ce moment c'est aussi pub ouverte sur le site de rue89 pour Antichrist... et je crois pas que ce soit du piratage...

franchement les gars...
- Partager
5
- alberich répond à .Lycurgue.
  
  Posté à 20h09 le 04/11/2009
  Tu crois qu'ils vivent d'amour et d'eau fraîche ?
  
  Franchement les gens utilisent un service, il faut bien le payer d'une manière ou une autre !
  - Partager
  4
  - Iv répond à alberich
    Roboticien utopiste
    
    Posté à 23h28 le 04/11/2009
    
    Internaute
    Roboticien utopiste
    Je croyais qu'ils vivaient d'indépendance et d'information. Dépendre d'un publicitaire, c'est jeter ce premier élément aux orties.
    Partager
    
    3
    - alberich répond à Iv
      
      Posté à 23h56 le 04/11/2009
      
      Vous êtes drôle, comment payez-vous les journalistes, l'hébergement, la maintenance, la bande passante etc. sans aucunes recettes ?
      
      Sur le web, il y a peu de solutions, la pub ou faire payer l'utilisateur. (ou le mécénat ...)
      
      Partager
      
      2
      - Iv répond à alberich
        Roboticien utopiste
        
        Posté à 09h28 le 05/11/2009
        
        Internaute
        Roboticien utopiste
        
        Justement, rue89 se cherchait un modèle et souhaitait être un fer de lance du mécénat, avec le mur. Le fait qu'ils aient abandonné est une nouvelle d'une grande importance et à mon sens d'une grande gravité.
        
        D'autant plus que cette publicité est faite d'une façon bien plus aggressive que ce que j'ai pu voir dans les autres sites. On dirait que le site lui même se nomme « antichrist »
        
        Partager
        
        3
        
        alberich répond à Iv
        
        Posté à 18h09 le 05/11/2009
        
        Le mur, mais lol quoi, tout au plus s'agit-il d'un revenu d'appoint. Vous y avez acheté quelques briques au fait ou vous comptez sur les autres comme tout le monde ?
        
        Sinon ce genre de pub en arrière plan se répand de plus en plus, elle n'est pas bloquée automatiquement, il faut le faire à la main, ce qui n'avance pas à grand chose dans la mesure où elle fait partie intégrante de la mise en page, à la place vous aurez un espace blanc presque aussi désagréable que la pub elle même.
        
        Partager
        
        2
    3 autres commentaires
- Iv répond à .Lycurgue.
  Roboticien utopiste
  
  Posté à 22h04 le 04/11/2009
  
  Internaute
  Roboticien utopiste
  J'allais faire la même remarque.
  C'est quoi cette histoire ?
  Une grosse pub, bien moche, on a l'impression de tenir un gratuit distribué dans le métro.
  Evidemment ça s'arrange en plus pour esquiver les filtres anti-pub (petit indice : quand j'ai un filtre anti-pub c'est que je n'ai pas l'intention de cliquer sur une pub. Aucune.)
  Bon, je trouvais que la qualité de rue89 baissait, et il parait qu'il faut acheter bakchich pour éviter que ça meurt. C'est reparti...
  - Partager
  3
pipolino
- Posté à 19h51 le 04/11/2009
« Le problème a vite été réglé par la firme américaine, mais la faille subsiste sur le site français »

Ah ah la France toujours en retard, ça aussi ça fait tache
- Partager
1
Laurent-Weppe
- Posté à 20h07 le 04/11/2009
D'un autre côté, il est tout à fait possible de faire tourner Windows sur un mac...

En fait, d'expérience, je sais que Windows plante beaucoup moins souvent quand je le fait tourner sur un Mac via parallels que sur un « vrai » PC.
- Partager
1
- Strelok répond à Laurent-Weppe
  Humain
  
  Posté à 16h42 le 05/11/2009
  
  Internaute
  Humain
  N'importe quoi. Je suis loin d'être pro-microsoft, mais windows plante pareil sur mac et sur PC.
  
  D'ailleurs, tu ne t'étais pas aperçu que ton « mac », c'est juste un PC que t'as payé vachement plus cher à cause de la marque ?
  - Partager
  1
  - Laurent-Weppe répond à Strelok
    
    Posté à 00h07 le 07/11/2009
    Mon expérience personnelle :
    
    Plantage d'XP via parallels : une fois en deux ans.
    Plantage sur PC : une fois toutes les trois semaines (et nous sommes loin de la grande époque de Windows 95)
    Plantage de MacOS : une fois en 20 ans d'usage, et c'était le disque dur qui avait lâché suite à une chute de l'ordinateur.
    
    Alors je préfère continuer à payer plus cher mon « produit de marque » et à avoir moins de crises de nerfs induites par Windows.
    Partager
    
    0
Thucydide
Que survive la Démocratie en (...)
- Posté à 09h49 le 05/11/2009
- Internaute
  Que survive la Démocratie en (...)
En gros, guéguerre de pubs entre les deux parasites majeurs du monde informatique.
Et une occasion de développer des arguments en faveur de l'univers OpenSource :

1) Pour le spartiate Lycurgue , je dirai que Firefox ,logiciel libre, offre aussi l'add-on AdBlock (qui bloque sans difficulté par un click droit des pubs ou des images indésirables façon AntiChrist).

2) Windows 7, commercialisé une petite fortune pour faire oublier les dégâts de Vista, est une tentative cahotante de reproduire les incroyables avancées 3D de KDE 4, un bureau développé par la communauté Linux. Problèmes incessants d'adaptation à leur plate-forme, ils n'en ont pas fini avec les bugs.

3) Apple, plus malin, s'est converti à la technologie PC et a adopté la plate-forme Unix pour n'avoir pratiquement plus qu'à faire un copié / collé de ce qui l'arrange parmi la profusion d'inventions GNU dans tous les domaines.
Il semble avoir retrouvé un peu de sa réputation d'inventivité en basant toute son originalité sur l'esthétique de ses machines, particulièrement chères tout en restant malgré tout assez banales dans leurs performances et plus que délicates de maintenance.

Il se trouve que, lassé de seriner depuis des années le seul OS à peu près correct de Microsoft (XP) et de n'y avoir utilisé pratiquement plus que des logiciels libres, je me suis mis à Linux il y a quelques semaines. Par souci de confort, j'ai choisi Mandriva.
Et je reste pantois d'admiration, j'ai l'impression d'avoir changé de siècle !

C'est léger, rapide, complet, beau et sûr, très motivant à gérer...
Et gratuit.
Et en constante évolution.

Alors les coups-bas de comm » Windows vs Mac finissent par laisser indifférent.

Essayez, vous ne risquez rien, il y a par défaut une fonction multiboot très sécurisante avant de se lancer dans l'aventure, et il est même possible d'installer et de faire tourner des logiciels écrits pour Windows grâce à l'émulateur Wine.
- Partager
1

L'auteur

Augustin Scalbert
Journaliste

Contacter | Voir son profil

Le top89

- 41768 visites
- 405 réactions
- 13
Sophie, moins de 500 euros par mois, étudiante et voleuse
- 34428 visites
- 185 réactions
- 6
Dix Grecs racontent leur vie de nouveaux pauvres
- 20425 visites
- 124 réactions
- 8
La boîte aux lettres rurale, espèce (de service public) en danger
- 10510 visites
- 21 réactions
- 0
Pourquoi Google jette son dévolu sur les étudiants de HEC

Mon Facebook aime

Ils ont dit

“Individualiste, sournoise. Des résultats, s'éparpille beaucoup. Proche des syndicats.”

— Un cadre de la Macif

Les salariés de la Macif à Vénissieux ont découvert un document manuscrit dans lequel un cadre juge son équipe.

En savoir plus
Le chiffre
5 000 €
Selon un sondage, 31% des Français jugent qu'au-delà de ce seuil, une personne peut être considérée comme riche.
La France, un pays de riches qui s'ignorent
Article star

Gag
« Objectif budget » : Rue89 de droite a testé le jeu du Figaro.fr
- 26832 visites
- 76 réactions
- 28