Pendant quelques heures la nuit dernière, une page accessible depuis le domaine Elysée.fr proposait de « faire sortir Nicolas ». Ce détournement satirique a pu être réalisé par l'intermédiaire d'une faille XSS, rapidement corrigée mercredi matin.
Pendant quelques heures la nuit dernière a circulé sur Internet l'adresse d'une page hébergée sur le domaine Elysée.fr affichant, sous le solennel en-tête de la République française, une vision innattendue : un Nicolas Sarkozy tour à tour en costume, en short, à moto et tout nu qui marche sur un tapis rouge en direction du portail élyséen.
Quelques petits malins ont en réalité profité d'une faille XSS pour créer de toute pièce une page accessible depuis une URL Elysée.fr intégrant, sous le header officiel de la présidence, le contenu du site sortez-le.fr.
Le service web de l'Elysée a confirmé l'incident à nos confrères de L'Express.fr : « Nous l'avons constaté cette nuit et le problème a été résolu ce matin à 7h. Ils ont profité d'un module ancien qui servait à écrire au Président ».
Au début de l'année, c'est la page Facebook de Nicolas Sarkozy qui avait été piratée, là encore pour annoncer son départ.
Mise à jour, 16h : Contrairement à ce que nous avions écrit dans la version initiale de cet article, basée sur le rapport erroné de nos confrères (lui aussi amendé depuis), il n'y a pas eu piratage au sens strict du site Elysée.fr, puisque l'intégrité de ce dernier n'a pas été menacée, comme l'ont eux même souligné les présumés auteurs de la page. Il était également faux d'évoquer une redirection de la page d'accueil elysee.fr, qui est restée normalement accessible pendant toute la durée de l'incident.
Il existait en revanche bien une faille de sécurité, de type XSS (Cross Site Scripting) qui a permis la mise au point de ce détournement, par l'ajout d'arguments dans l'URL d'une page mal sécurisée, depuis corrigée (voir un autre exemple).
Toutes nos excuses à nos lecteurs, ainsi qu'aux services concernés, pour ce relai bien trop rapide. Gageons que nous nous montrerons plus prudents lors de la prochaine exploitation d'une faille de ce type sur un site politique... ce qui en ces temps de campagne présidentielle ne devrait pas tarder.
(publication initiale, 11h, sous le titre « Le site de l'Elysée piraté la nuit dernière »)
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre
passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur
expertise quotidiennement.
