Yahoo! Mail : Une faille XSS est vendue 700 dollars !

Qui a dit que le piratage ne paie pas ? Pour 700 dollars, un pirate informatique égyptien se présentant sous le pseudonyme de TheHell met en vente une faille de type Cross Site Scripting (XSS) permettant de détourner des comptes Yahoo! Mail.

C’est sur un forum underground spécialisé dans la cybercriminalité que TheHell a mis en vente une faille Cross Site Scripting (XSS) présente sur le portail Yahoo.com. Le pirate égyptien demande 700 dollars pour son exploit. Un prix sacrifié puisqu’il souligne que normalement la gamme de prix varie entre 1 100 et 1 500 dollars.

TheHell promet un exploit fonctionnel permettant de passer outre les filtres de sécurité présents notamment dans Internet Explorer et Google Chrome. La faille XSS est de type permanente, ce sont les plus dangereuses.

Krebs on Security explique que la faille dans Yahoo.com permet à un attaquant de voler des cookies d’utilisateurs de Yahoo! Mail :

” Une telle faille permet à des attaquants d’envoyer et de lire les e-mails du compte d’une victime. Dans une attaque XSS, un attaquant envoie un lien malveillant à un utilisateur. Si l’utilisateur clique sur le lien, le script est exécuté et peut accéder aux cookies, jetons de session ou autre information sensible retenue par le navigateur et utilisée avec le site “

, explique le journaliste et chercheur en sécurité Brian Krebs sur son site.

Yahoo! a été alerté et un responsable de la sécurité chez Yahoo! a déclaré que la plupart des failles XSS sont faciles à corriger. Le plus difficile sera de trouver l’URL de Yahoo.com permettant l’exploit.

L’article de Brian Krebs montre à quel point il est nécessaire de se montrer prudent avant de cliquer sur n’importe quoi et rappelle l’existence d’un marché noir de la cybercriminalité.