Cachez ce code HTML dans votre nom d’entreprise, que je ne saurais voir

On rapporte qu’un entrepreneur anglais se faisait récemment demander par le registraire des entreprises de ce pays de changer le nom de sa société, qu’il avait nommé par du code HTML, en l’occurrence «““>». La raison? Le code pose un risque dans certaines circonstances, quand un usager tente d’interagir avec un nom dans la base de données du registraire anglais.

Le code en question avait le potentiel de permettre de générer une attaque informatique connue sous le nom de «cross-site scripting» («XSS») à partir du site du Companies House (l’équivalent anglais du Registraire des entreprises du Québec) et de son API. Le XSS est un type de faille qui permet à un tiers d’injecter son propre code dans celui qui dirige un site légitime vers le fureteur des visiteurs, résultant potentiellement dans l’exécution d’un programme qui n’a rien à voir avec le site que l’usager voulait consulter — étant entendu que ce code peut alors être n’importe quoi, incluant du code malicieux.

Ici, l’API en question est une interface que rend disponible le registraire anglais afin de permettre qu’on interroge sa base de données sans devoir passer par son site comme tel. En combinaison avec une requête comprenant les caractères composant le nom de la société en question, cela aurait permis d’exécuter du code tiers, ce qui aurait possiblement compris du code dangereux.

Bien que l’entrepreneur en question n’avait aucune mauvaise intention ici, le registraire lui a tout de même demandé de bien vouloir modifier le nom de sa société, ce qu’il a accepté de faire, en la renommant «THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD».

Bref, cela ouvrait une brèche qu’on a maintenant colmatée, mais qui démontre bien que les registraires d’entreprises ont avantage à mieux valider les noms commerciaux qui entrent dans leurs bases de données. Ce n’est pas quelque chose que le gouvernement avait prévu en élaborant ses règles quant aux noms commerciaux qui s’avèrent acceptables pour inscription sur le registre des entreprises. Bienvenue en 2020!

Indication de sources, marques et logiciels: quand une visite à votre boutique d’applis préférée devient un jeu de roulette russe

Le site LifeHacker demeure l’un de mes classiques en fait de vie numérique et des mille trucs qu’on peut toujours trouver pour mieux faire, plus vite, etc. J’y tombais hier sur un article recommandant d’éviter les magasins d’applis ou d’ajouts logiciels pour fureteur (comme le Chrome Web Store), lorsqu’on peut. Bien que ces répertoires de composantes logicielles soient parfois inévitables, le fait est qu’il s’avère souvent dangereux d’y télécharger des outils logiciels à moins de faire preuve de vigilance, notamment parce qu’il est si facile pour les escrocs d’y placer des maliciels déguisés en de véritables produits utiles et désirables.

La société AdGuard rapportait récemment que près de 300 ajouts logiciels distribués par l’entremise du magasin d’ajouts destinés à suppléer aux fonctionnalités du fureteur Chrome auraient été installés par des dizaines de millions d’internautes insouciants ou incapables de les distinguer des véritables composantes qu’ils cherchaient à installer. La statistique démontre l’existence d’un problème bien réel.

Le problème vient notamment du fait que les sociétés hébergeant les boutiques d’applis (par ex. Google et Apple) ont souvent un travail difficile de filtrage à faire quand on les contacte pour placer un produit logiciel sur leur plateforme. Au-delà de l’analyse technique, on a souvent un travail ardu à faire quant au nom de l’appli, puisque l’habitude est souvent de donner à des applis similaires des noms qui se ressemblent, souvent liés à la fonction du produit. L’article de LifeHacker donne l’exemple d’une recherche récente sur le Chrome Web Store quant à un ajout («add-on») précis, un produit réel nommé «Adblock», copié par d’autres maliciels déguisés récemment retirés par Google:

  • Ad-block for YouTube,
  • A-blocker,
  • UBlocker,
  • AdBlock — Stop Ad on every Site,
  • Adblocker-X,
  • StopAds, etc.

En pratique, si un internaute a un souvenir imparfait du nom (ou du logo) de la composante qu’il cherche, il pourra très bien éprouver des difficultés à discerner le vrai du faux au moment de cliquer pour l’installer. Facile à comprendre à quel point l’usager moyen (pressé et peu sophistiqué) a toutes les chances de se tromper au moment d’autoriser une composante sur son appareil ou son fureteur. Le problème est bien réel, pas de doute, et il ne s’agit pas non plus du genre de problème susceptible d’être enrayé à court terme.

Il est drôle de constater à quel point le droit des marques semble absent ici, lui qui doit régler ce genre de problème dans le vrai monde. Quand on ne peut plus se fier à une marque comme indicateur de source, on sait qu’on est en territoire similaire à celui du Far West, pas de doute.

En pratique, on nous recommande donc de toujours demeurer sur nos gardes au moment de trouver ou d’installer des applis et des ajouts logiciels, en vérifiant chaque fois si ce qu’on trouve correspond à 100% à ce qu’on cherchait, sans trop se fier à la marque, au nom ou au logo affiché dans la boutique. On recommande aussi d’éviter de se fier à la description du produit, qui sera habituellement falsifiée de toute façon si la composante est piégée. Au final, il est préférable d’obtenir toute composante directement du producteur de celle-ci, sans intermédiaire; on évitera ainsi d’être berné au passage alors qu’on se trouve en boutique. D’ailleurs, rappelons que les critiques affichées et provenant supposément des usagers sont aussi une mauvaise source d’information, puisqu’elles sont si faciles à trafiquer pour les fraudeurs.