Sur Twitter, un message circule : le chercheur en sécurité Fawzii ColdFire aurait trouvé une faille de sécurité de type Cross Site Scripting (XSS) sur le portail officiel de la banque BNP Paribas. Seule une capture d’écran est donnée pour preuve…
MAJ du 27/11/2012 : Le CSIRT BNP Paribas (Corporate Security Incident Response Team) vient de contacter UnderNews en annonçant que la vulnérabilité a été identifiée et corrigée. Merci à eux pour leur écoute et remerciements.
Si cela s’avère vrai, la faille est tout bonnement énorme sur un tel site bancaire. Le chercheur algérien explique sur le réseau social qu’il est possible d’exploiter la vulnérabilité de plusieurs manières, toutes aussi dangereuses les unes que les autres étant donné la nature du site. Redirection transparente pour du phishing de masse, modification des pages à l’insu des visiteurs, prise de contrôle des navigateurs, keylogger ou encore attaque “drive by download” !
Voila la capture avec un simple PoC JavaScript fournie par Fawzii ColdFire :
Pour couronner le tout, il a aussi démontré qu’une attaque avancée de type “drive by download” Java est possible, ce qui permettrait d’utiliser le site afin d’infecter directement les machines des visiteurs via des exploits ciblés !
Impossible d’en dire plus pour le moment (pas de détail divulgué, ni fourni sur la vulnérabilité, les captures sont toutes floutées), espérons que l’équipe sécurité de la banque va corriger cela bientôt… Ça fait plutôt peur sur un site bancaire non ?