Étroitement surveillé après avoir été victime, en début d’année, d’une intrusion dans sa base de données, eBay doit faire face à une nouvelle alerte de sécurité, liée cette fois à une faille de type « cross-site scripting » (XSS).
Les premières traces de cette vulnérabilité remontent au mois de février, avec un mail envoyé au support client par un utilisateur américain qui se plaignait d’être tombé sur un scam lors d’une recherche dans la catégorie « Appareils photo ». Il s’agissait en l’occurrence d’une annonce frauduleuse contenant du code JavaScript destiné à rediriger l’internaute vers une page Web malveillante sur laquelle il était invité à saisir son identifiant et son mot de passe eBay.
D’après Ilia Kolochenko, expert en sécurité IT et directeur de la firme High-Tech Bridge, il est courant pour de telles plates-formes e-commerce utilisée dans le monde entier d’abriter « un certain nombre » de failles XSS. Problème : celle qui touche eBay semble encore activement exploitée… Et l’offensive a pris du volume au fil des semaines : alors que le groupe Internet – évoquant « des actes isolés » – a supprimé plusieurs annonces frauduleuses, la BBC assure en avoir vu apparaître de nouvelles presque aussi sec.
Portant essentiellement sur des enchères autour d’anciens modèles de l’iPhone revendus après la sortie de la nouvelle génération du smartphone d’Apple, les annonces en question ne sont plus actives la plupart du temps. Mais elles apparaissent pendant deux semaines dans le moteur de recherche à compter de la date de fin d’enchère.
Interpellé à cet égard, eBay reconnaît que ses équipes de sécurité « font le maximum », mais qu’elles ont été dépassées par la capacité des cyber-criminels à « garder une longueur d’avance en adaptant leur code et leur stratégie ». Se pose aussi la question de l’utilisation de JavaScript et Flash, technologies sujettes aux attaques informatiques, mais dont eBay autorise l’usage pour « rendre les annonces plus attrayantes ».
—— A voir aussi ——
Quiz ITespresso.fr : incollable sur eBay ?
Crédit photo : Mathias Rosenthal – Shutterstock.com
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…
Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…
