a la une 04/11/2009 à 18h30

Aujourd'hui, c'est pub ouverte sur le site d'Apple

Augustin Scalbert | Journaliste Rue89



Fausse pub pour la boutique Rue89 sur le site d’Apple

Dans la nuit de mardi à mercredi, un petit plaisantin a fait le bonheur de milliers d’internautes en plaçant une publicité pour Windows 7 sur le site anglophone d’Apple iTunes, en raison, semble-t-il, d’une faille XSS. Le problème a vite été réglé par la firme américaine, mais la faille subsiste sur le site français.

Par exemple, en suivant ce lien, on pourrait croire qu’Apple effectue la promotion des T-shirts Rue89. Si si, il s’agit vraiment du site Apple.com/fr, comme on peut le vérifier en cliquant sur un des liens en bas de la page.

Alors forcément, l’URL fait plusieurs dizaines de kilomètres de long, et n’est pas très pratique à faire « buzzer ». Sauf qu’en passant par un réducteur d’adresses web du type u.nu (un des plus courts), on obtient une adresse comme celle-ci : http://u.nu/53sr3. Beaucoup plus simple à relayer pour qui voudra envoyer à ses amis la photo de son bébé, de son chien ou de sa plante verte dans le cadre insolite (ou avantageux, selon les goûts) du site Internet de la marque.

Contactée par Rue89, Apple n’a pas encore donné suite à nos appels. Selon Colin, informaticien à Rue89, ce genre de faille serait plutôt bénigne pour Apple, et même volontaire de la part de la firme, dans la mesure où elle permet à ses clients d’entrer eux-mêmes le nom du titre et de l’artiste qu’ils veulent vendre sur le site iTunes :

« En entrant sur le site, c’est comme si tu parvenais à entrer dans la cour d’un château fort. Mais une fois que tu es dans la cour, tu ne peux pas aller plus loin car les portes sont trop épaisses. »

Reste qu’une pub Windows sur le site de l’« ennemi » de toujours Apple, ça fait tache... La faille ne devrait pas rester longtemps sur le site français.

Ajout 5/11/2009 13h56 : la faille a été comblée sur le site iTunes France.

  • 22493 visites
  • 19 réactions
TAGS
Vous devez être connecté pour commenter : or inscrivez-vous
  • oliviercharavel
    oliviercharavel
    User Interface Designer
    • Posté à 18h57 le 04/11/2009
    • Internaute 77021
      User Interface Designer

    Enorme. : -)

    • milou83
      milou83 répond à oliviercharavel
      neant
      • Posté à 21h12 le 04/11/2009
      • Internaute 69244
        neant

      on n’a pas de petrole ,mais des idées.
      il veulent nous piqué(s) les idées ! ! ! ! ! ! ! ! ! !

  • monOpinion-
    monOpinion-
    Coon & Friends
    • Posté à 19h12 le 04/11/2009
    • Internaute 22434
      Coon & Friends

    Ce genre de faille tel quel est en fait assez bénin, car le contenu sur le serveur n’est pas modifié. Le changement s’opère en réalité « coté navigateur », et il est surtout dangereux pour l’utilisateur, car on peut imaginer que le pirate fasse en sorte d’afficher un formulaire login/mot de passe qui lui retransmettrait ces informations sensibles au moment de la validation. Couplé à une méthode de pishing c’est donc potentiellement très dangereux.

    • Pot_de_chambre
      Pot_de_chambre répond à monOpinion-
      Touriste
      • Posté à 20h17 le 04/11/2009
      • Internaute 85464
        Touriste

      Seulement trois variables peuvent être modifiées sur la page :
      - Le nom du morceau recherché (avant le « by ») ;
      - Le nom du site partenaire (après le « by ») ;
      - Une image liée.
      Pas de quoi faire du pishing. Pas de quoi faire grand chose d’ailleurs puisqu’il est impossible d’insérer un lien, ou plus compliqué (comme un formulaire). Tout au plus de quoi faire quelques blagues.

      • monOpinion-
        monOpinion- répond à Pot_de_chambre
        Coon & Friends
        • Posté à 22h08 le 04/11/2009
        • Internaute 22434
          Coon & Friends

        Les variables sont « censées » remplacer logiquement un titre, un lien et une image, mais tout le code HTML y est interprété sans restriction. En passant 5 minutes dessus j’ai pu afficher un formulaire :

        Lien

        Nul doute qu’avec un peu de javascript/DOM et de la patience je pourrais faire un formulaire crédible.

        A noter au passage que si vous utilisez l’addon « NoScript » de Firefox, vous êtes prémunis contre ce genre d’attaque ! Je viens d’en faire l’expérience à l’instant !

         
        • rue92
          rue92 répond à monOpinion-
          • Posté à 00h13 le 05/11/2009
          • Internaute 93684

          monOpinion a raison, et Colin Verot se trompe en arguant que cette faille serait bénine pour Apple. Pour l’intégrité du site oui, mais pas pour l’image de la marque, or que compte plus que l’image pour Apple ?

          En développant l’idée de monOpinion on arrive donc à créer un véritable formulaire pouvant servir par exemple à voler un login/mdp de iTunes, bref créer des liens de pishing tout à fait dommageable pour Apple.

        • malkav
          malkav répond à monOpinion-
          anonymous
          • Posté à 02h21 le 05/11/2009
          • Internaute 66490
            anonymous

          tout le DOM est modifiable, l’image pourrais tres bien etre un GIFAR, y’a aucune validation d’entrée, et aucune validation de sortie.
          alors, sauvés par le fait que le xss soit reflectif ?
          pas vraiment, on baisse peut etre d’un cran dans la persistance, au mieux.
          mais je peux toujours :
          1 : executer du code coté client
          2 : injecter des éléments de tierce partie dans le DOM d’apple.com

          la on en rigole, et on vend des tshirt, mais c’est exactement le genre de faille qui font distribuer des scareware a nytimes.com, utilisent le pagerank google d’un site (parce que apple, c’est bien connu, ils ont un tout petit pagerank) pour promouvoir un de vos milliers de blogs autogénérés qui servent de gateway a un autre malware du genre fake flash codec. bah oui, ma maman, si apple.com lui dit qu’il faut qu’elle installe un codec pour voir une vidéo sur apple.com en cliquant ici, elle est sage et elle clique ici.

          donc « bénin » ? non. la fin du monde ? certainement pas. c’est encore une de ces milliers de faille xss qui va atterir sur xssed.com, qui sera résolue (ou pas, cf le ratio reported/fixed sur le même site), et qui en attendant met doublement a mal les utilisateurs du site (potentiellement, j’ai pas connaissance d’une exploitation active de cette faille précise) et apple dont les mots d’ordre (marketing) ont toujours été « simplicité, sécurité, design » (pour le coup, on rigolerais bien a leur faire un css géocities des années 90 a base de banniere gif, de tags et de webcounter xiti)

          mais ceci etant dit, je suis tres content de voir ce genre de chose apparaitre ailleurs que sur sla.ckers.org, parce qu’il y’a plus de chance que quelqu’un qui a les moyens de changer les choses (ie : budgeter les 3 jours/homme pour boucher le trou, et peut être même si c’est un grand fou, un audit complet de leur code frontend) lise rue89 que les sites conçu par des techs, pour des techs.

        2 autres commentaires
  • .Lycurgue.
    .Lycurgue.
    Etudiant
    • Posté à 19h43 le 04/11/2009
    • Internaute 89523
      Etudiant

    en ce moment c’est aussi pub ouverte sur le site de rue89 pour Antichrist... et je crois pas que ce soit du piratage...

    franchement les gars...

    • alberich
      alberich répond à .Lycurgue.
      fumiste
      • Posté à 20h09 le 04/11/2009
      • Internaute 84604
        fumiste

      Tu crois qu’ils vivent d’amour et d’eau fraîche ?

      Franchement les gens utilisent un service, il faut bien le payer d’une manière ou une autre !

      • Iv
        Iv répond à alberich
        Roboticien utopiste
        • Posté à 23h28 le 04/11/2009
        • Internaute 39192
          Roboticien utopiste

        Je croyais qu’ils vivaient d’indépendance et d’information. Dépendre d’un publicitaire, c’est jeter ce premier élément aux orties.

         
        • alberich
          alberich répond à Iv
          fumiste
          • Posté à 23h56 le 04/11/2009
          • Internaute 84604
            fumiste

          Vous êtes drôle, comment payez-vous les journalistes, l’hébergement, la maintenance, la bande passante etc. sans aucunes recettes ?

          Sur le web, il y a peu de solutions, la pub ou faire payer l’utilisateur. (ou le mécénat ...)

          • Iv
            Iv répond à alberich
            Roboticien utopiste
            • Posté à 09h28 le 05/11/2009
            • Internaute 39192
              Roboticien utopiste

            Justement, rue89 se cherchait un modèle et souhaitait être un fer de lance du mécénat, avec le mur. Le fait qu’ils aient abandonné est une nouvelle d’une grande importance et à mon sens d’une grande gravité.

            D’autant plus que cette publicité est faite d’une façon bien plus aggressive que ce que j’ai pu voir dans les autres sites. On dirait que le site lui même se nomme « antichrist »

            • alberich
              alberich répond à Iv
              fumiste
              • Posté à 18h09 le 05/11/2009
              • Internaute 84604
                fumiste

              Le mur, mais lol quoi, tout au plus s’agit-il d’un revenu d’appoint. Vous y avez acheté quelques briques au fait ou vous comptez sur les autres comme tout le monde ?

              Sinon ce genre de pub en arrière plan se répand de plus en plus, elle n’est pas bloquée automatiquement, il faut le faire à la main, ce qui n’avance pas à grand chose dans la mesure où elle fait partie intégrante de la mise en page, à la place vous aurez un espace blanc presque aussi désagréable que la pub elle même.

        3 autres commentaires
    • Iv
      Iv répond à .Lycurgue.
      Roboticien utopiste
      • Posté à 22h04 le 04/11/2009
      • Internaute 39192
        Roboticien utopiste

      J’allais faire la même remarque.
      C’est quoi cette histoire ?
      Une grosse pub, bien moche, on a l’impression de tenir un gratuit distribué dans le métro.
      Evidemment ça s’arrange en plus pour esquiver les filtres anti-pub (petit indice : quand j’ai un filtre anti-pub c’est que je n’ai pas l’intention de cliquer sur une pub. Aucune.)
      Bon, je trouvais que la qualité de rue89 baissait, et il parait qu’il faut acheter bakchich pour éviter que ça meurt. C’est reparti...

  • pipolino
    • Posté à 19h51 le 04/11/2009
    • Internaute 89242
      .

    « Le problème a vite été réglé par la firme américaine, mais la faille subsiste sur le site français »

    Ah ah la France toujours en retard, ça aussi ça fait tache

  • Laurent-Weppe
    • Posté à 20h07 le 04/11/2009
    • Internaute 32921

    D’un autre côté, il est tout à fait possible de faire tourner Windows sur un mac...

    En fait, d’expérience, je sais que Windows plante beaucoup moins souvent quand je le fait tourner sur un Mac via parallels que sur un « vrai » PC.

    • Strelok
      Strelok répond à Laurent-Weppe
      Humain
      • Posté à 16h42 le 05/11/2009
      • Internaute 51074
        Humain

      N’importe quoi. Je suis loin d’être pro-microsoft, mais windows plante pareil sur mac et sur PC.

      D’ailleurs, tu ne t’étais pas aperçu que ton « mac », c’est juste un PC que t’as payé vachement plus cher à cause de la marque ?

      • Laurent-Weppe
        Laurent-Weppe répond à Strelok
        • Posté à 00h07 le 07/11/2009
        • Internaute 32921

        Mon expérience personnelle :

        Plantage d’XP via parallels : une fois en deux ans.
        Plantage sur PC : une fois toutes les trois semaines (et nous sommes loin de la grande époque de Windows 95)
        Plantage de MacOS : une fois en 20 ans d’usage, et c’était le disque dur qui avait lâché suite à une chute de l’ordinateur.

        Alors je préfère continuer à payer plus cher mon « produit de marque » et à avoir moins de crises de nerfs induites par Windows.

  • Thucydide
    Thucydide
    Que survive la Démocratie en (...)
    • Posté à 09h49 le 05/11/2009
    • Internaute 6396
      Que survive la Démocratie en (...)

    En gros, guéguerre de pubs entre les deux parasites majeurs du monde informatique.
    Et une occasion de développer des arguments en faveur de l’univers OpenSource :

    1) Pour le spartiate Lycurgue , je dirai que Firefox ,logiciel libre, offre aussi l’add-on AdBlock (qui bloque sans difficulté par un click droit des pubs ou des images indésirables façon AntiChrist).

    2) Windows 7, commercialisé une petite fortune pour faire oublier les dégâts de Vista, est une tentative cahotante de reproduire les incroyables avancées 3D de KDE 4, un bureau développé par la communauté Linux. Problèmes incessants d’adaptation à leur plate-forme, ils n’en ont pas fini avec les bugs.

    3) Apple, plus malin, s’est converti à la technologie PC et a adopté la plate-forme Unix pour n’avoir pratiquement plus qu’à faire un copié / collé de ce qui l’arrange parmi la profusion d’inventions GNU dans tous les domaines.
    Il semble avoir retrouvé un peu de sa réputation d’inventivité en basant toute son originalité sur l’esthétique de ses machines, particulièrement chères tout en restant malgré tout assez banales dans leurs performances et plus que délicates de maintenance.

    Il se trouve que, lassé de seriner depuis des années le seul OS à peu près correct de Microsoft (XP) et de n’y avoir utilisé pratiquement plus que des logiciels libres, je me suis mis à Linux il y a quelques semaines. Par souci de confort, j’ai choisi Mandriva.
    Et je reste pantois d’admiration, j’ai l’impression d’avoir changé de siècle !

    C’est léger, rapide, complet, beau et sûr, très motivant à gérer...
    Et gratuit.
    Et en constante évolution.

    Alors les coups-bas de comm’ Windows vs Mac finissent par laisser indifférent.

    Essayez, vous ne risquez rien, il y a par défaut une fonction multiboot très sécurisante avant de se lancer dans l’aventure, et il est même possible d’installer et de faire tourner des logiciels écrits pour Windows grâce à l’émulateur Wine.