C´est le site de notre confrère Zataz www.zataz.com qui révèle l´information : une faille de type XSS (cross site sripting) a été découverte sur le site de la Sacem.
La Sacem est un site important dans le monde de la création : c´est lui qui gère les droits et les déclarations des oeuvres musicales.
"
Depuis quelques jours" annonce Zataz, "
des sites spécialisés dans le piratage informatique annoncent une faille sur le site de la Sacem, et plus précisément à partir de l´espace de connexion des adhérents." Un internaute français, connu sous le pseudonyme de XilYTol, a découvert une faille de type XSS (Cross Site Scripting) dans l´espace de connexion aux comptes adhérents. Une faille à partir d´une page de connexion sensible, sécurisée (https).
"
Pour rappel" mentionne Zataz, "
les cross site scripting peuvent permettre d´afficher n´importe quelle information à l´écran d´un internaute, dans la mesure où celui-ci a cliqué sur un lien officiel formé de manière à devenir malveillant. Dans le cas de la Sacem," poursuit Zataz,"
rien ne pourrait empêcher un pirate d´afficher une fausse page de connexion afin d´intercepter le login et le mot de passe du musicien".
La Sacem a précisé à Zataz dans un courriel "
que bien qu´elle n´ait constaté aucune intrusion dommageable, elle a temporairement suspendu l´accès à cet espace réservé à ses sociétaires, afin de procéder à une vérification et à d´éventuelles actions correctrices. L´accès a être à nouveau ouvert rapidement".
XYlitol tient à préciser sur notre site que "
à propos de la Sacem j´ai moi-même envoyé un email avant de rendre publique la vulnérabilité. j´ai eu une réponse du responsable Architecture et méthode de la Sacem".