Une faille de Wordpress non corrigée permet de hacker Yahoo! Mail

Guillaume Belfiore
Par Guillaume Belfiore, Rédacteur en chef adjoint.
Publié le 01 février 2013 à 15h00
Le service de courriers électroniques Yahoo! Mail serait toujours vulnérable à une attaque de type cross-scripting.

0078000001963326-photo-yahoo-mail-logo.jpg
En début de mois dernier nous rapportions qu'un hacker dénommé Shahin Ramezany et travaillant pour le compte de la société Abyssec, avait découvert un moyen de pénétrer au sein de n'importe quel compte Yahoo! Mail. Il expliquait avoir conçu une attaque permettant de récupérer les informations du cookie d'une victime simplement en leur envoyant un lien frauduleux. Si Yahoo! avait annoncé avoir déployé un correctif le problème serait toujours d'actualité.

Les experts de BitDefender expliquent que le blog Yahoo! Developers présente une vulnérabilité similaire. Celle-ci proviendrait de la plateforme Wordpress sur lequel il repose. Des hackers ont exploité cette dernière afin d'envoyer des liens pointant vers un site malveillant à l'apparence du site d'actualités MSNBC mais rattaché à un domaine différent acheté en Ukraine et hébergé à Chypre.

La page web en question contient un code JavaScript exploitant une vulnérabilité au sein de la plateforme. Dans la mesure où le blog est rattaché au même domaine principal que le service Yahoo! Mail il est alors possible d'accéder aux cookies des utilisateur puis de les récupérer. Ces derniers permettent ensuite de s'identifier sur les différents comptes puis de spammer le carnet d'adresses de la victime.
Guillaume Belfiore
Rédacteur en chef adjoint
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles