Le site XSSED, à l'instar de Zone-H pour les défacements, recense des failles XSS (Cross-Site Scripting) confirmées impactant les sites Web. Un certain "takethis" a ainsi transmis le 7 mars dernier des failles identifiées pour chacun des sites de TF1, France2 et Canal+.

Simple coïncidence ou souci de ne pas faire de discrimination ?

Toujours est-il qu'aucun site Web n'est véritablement à l'abri de ce type de risques. Une section du site XSSED regroupe par ailleurs les XSS détectés sur les sites "spéciaux" (sites gouvernementaux ou très visibles : kaspersky.fr, mcdonalds.fr, msn.co.uk, shop.vodafone.co.uk par exemple...).

Plusieurs autres sites Web (notamment allemands) s'attachent à référencer depuis quelques mois les sites de banques au sein desquels existent ces types de failles. Dans la majorité des cas, les opérateurs de ces sites signalent aux banques impactées leurs découvertes avant de les diffuser publiquement. Mais des outils automatiques sont nombreux pour permettre à des individus plus malveillants d'identifier leurs propres failles ou d'exploiter celles "publiques" que les grandes banques mettent parfois des mois à corriger.

Le risque est en effet grand pour ces sites bancaires, car l'essor des attaques de phishing utilisant des XSS pour rediriger l'internaute vers une fausse page de connexion est régulièrement pronostiqué. Pourtant, très peu de cas concrets confirmés implémentant cette technique existent à ce jour.