Le site Internet CreditCards.com corrige une vulnérabilité sur son site web qui a pu faire des dégâts dans les mains de pirates. CreditCards.com est un site web américain dédié aux transactions par cartes bancaires. Un portail bancaire fier de sa sécurité, de sa connexion SSL… Sauf que les dirigeants de ce site web ont omis d’alerter leurs membres et clients de la correction d’une vulnérabilité qui a très bien pu être exploitée par des pirates informatiques.
La faille, un XSS (encore!) permettait d’afficher, par exemple, une fausse page de connexion au service CardMatch. Bilan, un internaute client a très bien pu cliquer sur un lien particulièrement formulé par un pirate. Lien qui dirigeait bien sur le site officiel CreditCards mais qui a très bien pu déclencher l’affichage d’une page piégée. Le client, en toute transparence, et rassuré par le beau HTTPS, a très bien pu rentrer ses identifiants de connexion et continuer à vaquer à ses occupations. Pendant ce temps, le pirate interceptait les données pour ensuite les réutiliser. Nous n’avons pas de preuve d’une exploitation de cette faille.
Bref, CreditCards a corrigé la faille sans remercier et encore moins prévenir ses clients, histoire que ces derniers s’assurent de ne pas être tombés dans un phishing efficace et imparable sans un minimum de connaissance technique. (The Daco 92/Cyber Hackers)
Damien Bancal, expert reconnu en cybersécurité
Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles.
Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe.
Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
