Mise à jour : la Sacem nous fait savoir que « bien qu’elle n’ait constaté aucune intrusion dommageable, elle a temporairement suspendu l’accès à cet espace réservé à ses sociétaires, afin de procéder à une vérification et à d’éventuelles actions correctrices« . L’accès doit être ré-ouvert rapidement.
Article du 26 mai 2010 – Pourra-t-on accuser la Sacem de négligence caractérisée dans la protection de son site internet ? Le magazine spécialisé dans la sécurité informatique Zataz rapporte qu’une faille de type XSS (Crosse-site scripting) a été découverte sur le site de la SACEM, sur l’espace où se connectent les sociétaires auteurs, compositeurs ou éditeurs de musique.
Les failles XSS sont selon la définition qu’en donne Wikipedia « un type de faille de sécurité des sites Web, que l’on trouve typiquement dans les applications Web qui peuvent être utilisées par un attaquant pour provoquer un comportement du site Web différent de celui désiré par le créateur de la page (redirection vers un site, vol d’informations, etc.)« .
Il s’agit de profiter d’un formulaire non sécurisé pour envoyer au site un script qui sera interprété par le serveur comme s’il émanait du site lui-même. Ce script peut être inclut directement dans une URL aux apparences légitimes (du type https://login.sacem.fr/…), sur laquelle cliqueront les victimes. Il peut permettre d’afficher un autre contenu sur la page ciblée, et d’intercepter par exemple les login et mot de passe des adhérents de la Sacem.
La page à laquelle on accède par un serveur SSL censé garantir sa sécurité donne accès au catalogue des œuvres déposées à la Sacem, aux feuillets de répartition des droits, et probablement aux informations personnelles qui permettent à l’organisation de verser aux auteurs les sommes qui leur sont dues.
Le risque d’une interception des données de connexion est d’autant plus embêtante que la Sacem précise que « toutes actions sur www.sacem.fr avec ces codes d’accès sont considérées avoir été opérées par la personne à laquelle la Sacem les a délivrées« . « Les enregistrements informatiques de ces actions, ou leur reproduction sur un support informatique ou papier, feront foi entre les parties« .
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.