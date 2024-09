Menace sur les sondages d’opinion et désinformation : de fausses informations auraient pu être créées sur le site web de Gallup

septembre 2024 par Checkmarx

Gallup, l’une des plus importantes sociétés de sondages, a rapidement corrigé d’importantes failles de sécurité qui pouvaient être facilement exploitées par les pirates pour faciliter la diffusion de fausses informations et compromettre les données personnelles des utilisateurs.

Dans un contexte où la désinformation et l’usurpation d’identité représentent des menaces majeures, la sécurité des plateformes de sondage d’opinion revêt une importance capitale, notamment lors des cycles électoraux mondiaux. L’équipe de recherche de Checkmarx a récemment découvert des vulnérabilités critiques de type Cross-Site Scripting (XSS) ou injection indirecte de code à distance sur le site de Gallup. Cette faille permettrait à des attaquants d’injecter du contenu dans une page, provoquant ainsi des actions sur les navigateurs web visitant la page mais aussi d’usurper l’identité des utilisateurs et de réaliser des actions en leur nom, tout en accédant à leurs données. Une telle vulnérabilité pourrait offrir aux cybercriminels un contrôle total sur les fonctionnalités et les informations d’une application, particulièrement si l’utilisateur ciblé dispose de hauts privilèges.

Les types de vulnérabilités XSS détectés sont les suivants :

XSS réfléchie ou Reflected XSS : l’injection de code ce situe généralement dans les paramètres d’une requête HTTP. L’attaquant doit créer un lien URL personnalisé et inciter la victime à l’utiliser pour que le code malveillant soit exécuté dans son navigateur.

Le XSS basé sur le DOM (Document Object Model) se produit lorsqu’une fonction JavaScript côté client traite de manière non sécurisée des données provenant d’une source non fiable, souvent en les réécrivant dans le DOM, comme c’était le cas dans les systèmes de Gallup. Le Document Object Model ou DOM est une structure utilisée pour représenter un document dans un navigateur.