Sécurité IT : faille XSS persistante sur eBay

Marketing
ebay-faille-xss

Le groupe Internet est engagé dans une course contre la montre après la mise en lumière d’une vulnérabilité activement exploitée… et qui existerait au moins depuis février 2014.

Étroitement surveillé après avoir été victime, en début d’année, d’une intrusion dans sa base de données, eBay doit faire face à une nouvelle alerte de sécurité, liée cette fois à une faille de type « cross-site scripting » (XSS).

Les premières traces de cette vulnérabilité remontent au mois de février, avec un mail envoyé au support client par un utilisateur américain qui se plaignait d’être tombé sur un scam lors d’une recherche dans la catégorie « Appareils photo ». Il s’agissait en l’occurrence d’une annonce frauduleuse contenant du code JavaScript destiné à rediriger l’internaute vers une page Web malveillante sur laquelle il était invité à saisir son identifiant et son mot de passe eBay.

D’après Ilia Kolochenko, expert en sécurité IT et directeur de la firme High-Tech Bridge, il est courant pour de telles plates-formes e-commerce utilisée dans le monde entier d’abriter « un certain nombre » de failles XSS. Problème : celle qui touche eBay semble encore activement exploitée… Et l’offensive a pris du volume au fil des semaines : alors que le groupe Internet – évoquant « des actes isolés » – a supprimé plusieurs annonces frauduleuses, la BBC assure en avoir vu apparaître de nouvelles presque aussi sec.

Portant essentiellement sur des enchères autour d’anciens modèles de l’iPhone revendus après la sortie de la nouvelle génération du smartphone d’Apple, les annonces en question ne sont plus actives la plupart du temps. Mais elles apparaissent pendant deux semaines dans le moteur de recherche à compter de la date de fin d’enchère.

Interpellé à cet égard, eBay reconnaît que ses équipes de sécurité « font le maximum », mais qu’elles ont été dépassées par la capacité des cyber-criminels à « garder une longueur d’avance en adaptant leur code et leur stratégie ». Se pose aussi la question de l’utilisation de JavaScript et Flash, technologies sujettes aux attaques informatiques, mais dont eBay autorise l’usage pour « rendre les annonces plus attrayantes ».

—— A voir aussi ——
Quiz ITespresso.fr : incollable sur eBay ?

Crédit photo : Mathias Rosenthal – Shutterstock.com

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur