ou comment yahoo.com met l'eau à la bouche des pirates
par theSnailSnapper
En septembre dernier, Yahoo annonçait le lancement de son arme anti-twitter. Quelques bêta-testeurs avaient goûté aux joies de ce nouveau service de micro-blogging, et à lire leurs avis je me suis vite fait le mien : Yahoo!meme est un clone de twitter qui au final n'apporte pas grand chose. Est-ce pour autant que cette bestiole ne doit pas attirer l'attention?
Pour l'instant, Yahoo a été relativement discret quand à son nouveau service. On se souvient d'un récent lancement de Yahoo!Buzz qui avait bourdonné sec! Mais là, silence...
Pour attirer les foules il se peut donc que le géant offre des "avantages en nature" pour ses clients, comme un meilleur référencement, pourquoi pas!
Si tel sera le cas, Yahoo court alors au devant de gros ennuis, déjà qu'un certain nombre de points sensibles ait été relevé à droite à gauche du web :
- Yahoo et ses sous-domaines (propres ou partenaires) sont régulièrement victimes d'attaques de type XSS, autrement dit une injection de code dans la barre d'adresse qui permet à un pirate de faire pas mal de chose, dont voler des cookies de session
- Yahoo!meme est un sous domaine de yahoo.com...
- Yahoo!meme utilise les deux mêmes cookies Y et T que son grand frère yahoo.com
Nous avons là un joli cocktail qui n'attend qu'une chose : qu'un vers soit développé et se répande à cause d'un pauvre utilisateur qui aurait cliqué sur le lien qu'il ne fallait pas.
Le lancement d'un site ayant pignon sur rue donne généralement lieu à une mise à l'épreuve du service de la part des pirates ("gentils" ou "méchants"). Les détournements possibles pourraient être :
- accroissement de trafic d'un site tierce
- dissémination de fichiers vérolés
- vol de cookies yahoo permettant une usurpation de la session
- phishing
- ...
Alors serons-nous témoin dans les semaines/mois qui viennent à une vague d'attaques à l'encontre de meme?
Bonus : un blog roumain dévoile qu'il est d'or et déjà possible de transformer le formulaire d'invitation par mail de yahoo!meme en un véritable mail bomber...ça commence bien!
Article protégé par
Enregistrer un commentaire