Rentrée littéraire : La fashion week des libraires

Hacking du registre ReLIRE : une machine à cash pour Bisounours

Nicolas Gary - 15.06.2014

Lecture numérique - Usages - registre ReLIRE - hacking piratage - numérisation oeuvres


Ça devait arriver : à force de cristalliser la colère des auteurs absolument pas entendus, après le passage en force législatif, et en dépit des actions juridiques balayées d'un revers de manche, le registre ReLIRE vient de prendre une claque. C'est un hacking en bonne et due forme que le site a encaissé, avec tout l'humour dont est généralement capable un pirate informatique.

 

 

MàJ le 16/06 à 11h50

Le site de relire.bnf.fr a été mis hors ligne, avons-nous pu constater à 11h50. Probablement le temps d'une maintenance. L'ensemble des pages est inaccessible.

MàJ 2 18h24

Le site est revenu dans l'après-midi, mais le hack est toujours en partie visible, même s'il n'affiche plus sa belle image. Temps de réaction et de correction : discutable.

MàJ 3 17 juin : 7h04

Presque deux jours après l'annonce de l'exploit, la faille a été corrigée par les services techniques. Rappelons que cette version 2 du site ReLIRE aura été facturé quelque 585.000 € dans un appel d'offres lancé par la BnF. Donc avec de l'argent public.

 

--------------

 

Le message est clair et net : la présentation Bisounours du projet de numérisation des oeuvres indisponibles du XXe siècle n'est finalement qu'une sorte de machine à cash, sur fond de piratage. Et l'on retrouve les différents acteurs : La Sofia, la BNF, ainsi que la grande thématique, expropriation des droits des auteurs - et évidemment, la petite référence à un Picsou bien sentie.

 

C'est la Team Alexandriz, depuis son fil Twitter qui signale la réalisation et revendique être à l'origine de ce piratage. La team, qui s'était mis dans un certain état de veille revient avec une action retentissante : 

  

Reste que, testé par ActuaLitté, le hacking ne semble pas tout à fait fonctionner selon les navigateurs utilisés. Dans tous les cas, la page de demande d'ajout d'un livre, pour sa numérisation future affiche, sur Chrome, un message assez intrigant.  

 

 

 

Manifestement, le hacking ne fonctionne qu'avec le navigateur Firefox version 30. La rédaction vient de l'expérimenter. A 21h30, le hack est toujours en place. On poursuit le décompte...

 

Hacking registre ReLIRE

 

ActuaLitté, CC BY SA 2.0 

 

Petite explication de ce qui se passe avec ce hacking : c'est une faille dans le remplissage du formulaire qui est mise en évidence. Et surtout, un certain amateurisme dans la réalisation d'un site qui a coûté, dans sa version 2, plus de 585.000 €.

 

« C'est le principe d'une attaque XSS : passer des codes javascript dans un formulaire. Et pour ça, dans la majorité des cas, on passe par un site intermédiaire sur lequel se trouve une page qui injecte l'exploit.

On le voit, au moment où on clique sur le lien de Team Alexandriz, on arrive sur un site qui n'est pas celui de ReLIRe et de suite, on bascule sur le site de ReLIRE.

 

Ce qui permet d'exploiter cette faille, ici, c'est qu'il n'y semble pas y avoir de pré-traitement des données du formulaire du site de ReLIRE (un ensemble de routines censées garantir que les données qui seront transmises par ce formulaire sont bien de la nature qu'on attend, et non du code javascript comme ici).

 

Disons que c'est le B A BA de la sécurisation de site. Ils ont beau avoir placé leurs formulaires sous SSL (le petit cadenas vert à gauche de l'URL dans la barre d'adresse), SSL ne protège pas de ce genre d'attaque.

 

Cette attaque est "fun" dans sa forme, dirons-nous. Mais quelqu'un de mal intentionné aurait très bien pu ajouter des commandes SQL dans les champs du formulaire de ReLIRE, et par là même, exécuter des requêtes sur la base de données elle-même (la vider, y ajouter des livres qui n'existent pas, etc...) », nous précise Alexandre Girardot, sur Facebook.

(voir sur Wikipedia, le Cross-site scritpting)

 

Hacking registre ReLIRE

ActuaLitté CC BY SA 2.0