US : le site de campagne de Barack Obama hacké ?

Quelques petites faiblesses dans le code du site de campagne de Barack Obama auraient permis à un hacker de rediriger pendant quelques heures les visiteurs de passage vers le site de sa principale concurrente, Hillary Clinton, rapportait hier l'entreprise Netcraft. Un certain « Mox » revendique, directement sur le site du candidat démocrate, la paternité de ce détournement. Pour mettre au point ce dernier, le hacker n'aurait eu qu'à injecter un pan de code JavaScript dans l'un des champs de formulaire de l'onglet communauté du site de Barack Obama, qui n'était pas protégé contre le traitement de caractères spéciaux tels que les guillemets (").

Une vidéo publiée sur YouTube atteste de la véracité de ce détournement : on y voit un internaute se rendre dans la partie Communauté du site de Barack Obama, et être instantanément redirigé vers celui de Hillary Clinton. « Je n'ai pas vraiment commis de hack dans le sens où je me serais introduit sur un serveur poussiéreux pour modifier le site d'Obama et voler vos numéros de cartes de crédit », explique le dénommé Mox, avant d'ajouter, non sans un brin d'ironie : « tout ce que j'ai fait, c'est d'exploiter un peu de code HTML écrit n'importe comment ».

Bien que la faille utilisée par le supposé hacker ait été corrigé, il subsisterait selon Netcraft un certain nombre de vulnérabilités permettant l'injection de JavaScript au sein du site d'Obama, sur le principe du Cross-Site Scripting (généralement noté XSS, pour éviter la confusion avec le sigle CSS, qui désigne les feuilles de style associées à une page HTML). Renvoyé par le site, puis exécuté au niveau du navigateur de l'internaute, un pan de code conçu à cette fin peut tout à fait orchestrer la redirection immédiate d'un visiteur vers un autre site.