[Corrigé] Alerte : Faille XSS sur le site Internet du Crédit Agricole du Languedoc

3
104

Alerte sécurité – Le site officiel de la banque Crédit Agricole du Languedoc semble être victime d’une vulnérabilité de type XSS. Faille critique étant donné la nature du site… Une capture d’écran à été diffusée par le site “XSS in your ass!”.

Mise à jour : 25/01/2013 : La faille a pu être corrigée très rapidement grâce à la réactivité du service sécurité de Crédit Agricole. Plus de riques actuellement ! Merci à eux pour le retour rapide.

La capture d’écran montre que ce serait le moteur de recherche du site bancaire qui pose problème. Une faille XSS, qui, rappelons-le, peut s’avérer critique sur un site de cette nature : un pirate pourrait l’utiliser pour dérober la session et le cookie d’un utilisateurs connecté, ce qui lui permettrait d’accéder au service en ligne du compte bancaire de la victime.

La banque vient d’être alertée via son compte Twitter…

Voici l’image diffusée par le site XSS in your ass! :

credit-agricole-xssed

3 Commentaires

  1. Bonjour,

    Oui, lorsque vous avez testé, il était déjà trop tard : le service de sécurité du groupe Crédit Agricole est immédiatement intervenu grâce à des messages envoyés via Twitter.

    C’est corrigé !

  2. La partie authentifiée du site est sous un autre nom de domaine, le cookie exposable via cette faille ne peut être utilisé pour voler une session utilisateur.
    Aucun danger donc. :’)

    Accessoirement, ce popup est géré par un javascript, non persistant.
    Ca sent un peu le fake, cette faille … :-°

Les commentaires sont fermés.