2

Si vous avez un compte sur Les Numériques, s'il vous plaît changez votre mot de passe. Explications.

Il y eu une faille XSS sur le site, permettant d'exécuter du code javascript.

Un attaquant l'a utilisée pour collecter login+cookie de session, sur certains commentaires d'articles du site, depuis le 25/10 à 17h41.

La faille était exécutée à la lecture des commentaires sur les articles suivants :

Nous n'en avons trouvé aucune trace mais le code malveillant a pu être déposé un temps sur d'autres commentaires.

Nous avons été prévenus jeudi soir et avons pu trouver et corriger cette faille entre vendredi et lundi.

Préférant jouer la transparence, nous vous conseillons fortement de changer votre mot de passe sur le site Les Numériques (c'est le même compte pour le site et le forum).

Par précaution, nous vous encourageons à le changer également sur tous les sites sensibles sur lesquels vous utiliseriez le même mot de passe.

La faille permettait d'être connecté à la place du membre, donc d'accéder à l'édition de son profil sur le site, de connaître l'adresse email associée au compte et de changer les informations liées au compte, comme le mot de passe.

Une plainte va être déposée.

Les attaquants n'ont pas eu accès à nos serveurs ni à la base de données du site.

Nous mettrons à jour cette news s'il y a du nouveau.

Merci.

Mise à jour 05/11/2015 : La liste des articles contenant les commentaires avec du code malveillant ne peut pas être considérée comme exhaustive.

Nous n'en avons trouvé aucune trace mais le code malveillant a pu être déposé un temps sur d'autres commentaires.