Elysée.fr victime d'un détournement satirique (màj)

01 juin 2018 à 15h36
0
Pendant quelques heures la nuit dernière, une page accessible depuis le domaine Elysée.fr proposait de « faire sortir Nicolas ». Ce détournement satirique a pu être réalisé par l'intermédiaire d'une faille XSS, rapidement corrigée mercredi matin.

00FA000004461592-photo-sarkozy-sortezle-piratage.jpg
Pendant quelques heures la nuit dernière a circulé sur Internet l'adresse d'une page hébergée sur le domaine Elysée.fr affichant, sous le solennel en-tête de la République française, une vision innattendue : un Nicolas Sarkozy tour à tour en costume, en short, à moto et tout nu qui marche sur un tapis rouge en direction du portail élyséen.

Quelques petits malins ont en réalité profité d'une faille XSS pour créer de toute pièce une page accessible depuis une URL Elysée.fr intégrant, sous le header officiel de la présidence, le contenu du site sortez-le.fr.

Le service web de l'Elysée a confirmé l'incident à nos confrères de L'Express.fr : « Nous l'avons constaté cette nuit et le problème a été résolu ce matin à 7h. Ils ont profité d'un module ancien qui servait à écrire au Président ».

Au début de l'année, c'est la page Facebook de Nicolas Sarkozy qui avait été piratée, là encore pour annoncer son départ.

Mise à jour, 16h : Contrairement à ce que nous avions écrit dans la version initiale de cet article, basée sur le rapport erroné de nos confrères (lui aussi amendé depuis), il n'y a pas eu piratage au sens strict du site Elysée.fr, puisque l'intégrité de ce dernier n'a pas été menacée, comme l'ont eux même souligné les présumés auteurs de la page. Il était également faux d'évoquer une redirection de la page d'accueil elysee.fr, qui est restée normalement accessible pendant toute la durée de l'incident.

Il existait en revanche bien une faille de sécurité, de type XSS (Cross Site Scripting) qui a permis la mise au point de ce détournement, par l'ajout d'arguments dans l'URL d'une page mal sécurisée, depuis corrigée (voir un autre exemple).

Toutes nos excuses à nos lecteurs, ainsi qu'aux services concernés, pour ce relai bien trop rapide. Gageons que nous nous montrerons plus prudents lors de la prochaine exploitation d'une faille de ce type sur un site politique... ce qui en ces temps de campagne présidentielle ne devrait pas tarder.

(publication initiale, 11h, sous le titre « Le site de l'Elysée piraté la nuit dernière »)
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Les développeurs craignent les modifications de l'Android Market
Drift HD : nouvelle caméra miniature pour sportif
Samsung Galaxy S II : 5 millions de ventes en 3 mois
L'Aviiq Portable Charging Station recharge quatre dispositifs en vadrouille
Gartner : les
Baidu annonce une hausse de son bénéfice
Nokia, ZTE, Huawei trainés en justice par InterDigital
Orange et Google s'associent pour démocratiser les services mobiles en Afrique
Transfert électronique : Amazon trainé en justice
Windows prend enfin nativement en charge les photos RAW
Haut de page