Une faille dans la librairie Kindle d’Amazon - analyse de LEXSI
septembre 2014 par LEXSI
Après Facebook, Twitter, MySpace et d’autres, c’est au tour d’Amazon et de sa librairie Kindle d’être victime d’une faille de type XSS.
Si la présence d’une vulnérabilité dans son portail est déjà dommageable, Amazon va ici surtout souffrir de son manque de réactivité et de ses erreurs. En effet, cette faille avait déjà été corrigée par le géant américain fin 2013… avant de réapparaître quelques mois plus tard ! Une chronologie étrange, qui questionne les bonnes pratiques de développement d’un acteur incontournable du cloud, dépositaire de la confidentialité de nombre de nos données personnelles...
Concernant la faille en tant que telle, force est de constater qu’elle n’est pas évidente à exploiter et qu’elle présente un risque très modéré pour le commun des utilisateurs de Kindle. On est loin du ver - heureusement humoristique - « Samy » qui avait réussi la prouesse d’infecter plus de 1 million d’utilisateurs de MySpace en seulement 20 heures (échappant d’ailleurs totalement au contrôle de son créateur).