Castorama piraté : le moteur de recherche se met à délirer

Par:
admin

jeu, 09/06/2016 - 15:13

Hier mercredi 8 juin, le moteur de recherche du site castorama.fr s'est mis à délirer.

L'auto-complétion du champ de saisie s'est soudain mise à afficher des suggestions souvent assez drôles, et malheureusement souvent aussi racistes, antisémites, ou excessivement graveleuses.

Castorama a indiqué avoir été victime d'un piratage sans plus d'explications. Un piratage qui sent bon l'exploitation d'une vulnérabilité XSS, vu le résultat.

Bien évidemment ce piratage a déclenché un bad buzz tel que le site est tombé, le serveur n'ayant pas pu assouvir la curiosité des internautes. Castorama a de toutes façons fermé son site en attendant qu'il soit réparé.

Allez quelques morceaux choisis assez drôles :

- clou vis cornillac

- douche pas à mon poste

- clou pour fakir

- si j'avais un marteau - Claude François

- scie seulement je savais coder

- tournevis pour un webmaster au chômage

- six renes du port d'Alexandrie

...

Ceux qui veulent en voir d'autres peuvent consulter le hashtag #castorama

Commentaires

cracou
17:24 , 09/06/2016

Aucun rapport avec une faille xss. Ils ont simplement transformé le site en twitter, n'importe quelle expression tapée dans la zone de recherche était enregistrée pour la completion. C'est sans doute plus facile de mettre ça sur le compte d'un piratage que d'avouer une erreur de design.

admin
17:29 , 09/06/2016

Transformé le site en twitter ? Erreur de design ? Très intéressant. Pouvez-vous expliquer plus en détail ?

cracou
19:54 , 09/06/2016

J'ai demandé à l'un de mes collègues, avant la fermeture temporaire du site, d'entrer dans la zone de recherche une expression quelquonque (par exemple "marteau carambolage chimpanzé"). 

J'ai ensuite entré de mon coté (depuis une autre connexion) le début de l'expression ("marteau c"), et immédiatement l'expression entrée précédemmment est apparue dans les suggestions.

Le twitter était de l'humour, je voulais dire que tout le monde pouvait entrer une expression qui serait alors disponible aux autres visiteurs dans les suggestions.

Sur un article de france3-region je lis que Castorama compte porter plainte en expliquant qu'il ne s'agissait pas techniquement d'un piratage, mais d'une manipulation du moteur de recherche, je cite "Quand on tape de très nombreuses fois un terme associé à un autre, les deux mots finissent par apparaître en suggestions, comme sur Google".

Mon test d'hier me laisse penser que ce n'était pas le cas, mon collègue aillant recherché l'expression une seule fois.