Problème de sécurité dans l’Optimiseur de Site

Mail reçu aujourd’hui de la part de l’équipe qui s’occupe de l’Optimiseur de Site Google:
Le Google Website Optimizer qui permet notamment la réalisation de tests A/B afin d’augmenter le taux de conversion d’une page semble faire l’objet d’une faille de sécurité.

Ainsi tous les tests effectués avec cet outil avant le 3 décembre 2010 seraient sensibles. Mieux vaut donc prévenir une attaque malveillante et suivre la procédure envoyée par mail:

Cher utilisateur de l’Optimiseur de Site,

Nous souhaitons vous informer d’un possible problème de sécurité dans l’Optimiseur de Site. En exploitant une faille dans le script de contrôle de l’Optimiseur de Site, une personne malveillante pourrait exécuter un code malveillant sur votre site par le biais d’une attaque de script de site à site. Cette attaque ne peut se produire que si le site Web ou le navigateur a déjà fait l’objet d’une attaque distincte. La probabilité immédiate d’une telle attaque est faible, mais nous vous incitons tout de même à prendre des mesures pour protéger votre site.

Nous avons corrigé le bug et tous les nouveaux tests ne sont pas vulnérables. Toutefois, vous devez mettre à jour tous les tests que vous exécutez actuellement afin de corriger le bug sur votre site. En outre, si vous disposez de scripts de l’Optimiseur de Site issus de tests mis en veille ou arrêtés que vous avez créés avant le 3 décembre 2010, vous devez également supprimer ou mettre à jour ce code.

Vous disposez de deux méthodes pour mettre à jour votre code. Vous pouvez arrêter les tests en cours, supprimer les anciens scripts, puis créer un autre test, ou mettre à jour le code directement sur votre site. Nous vous recommandons vivement de créer un test, car il s’agit de la méthode la plus simple.

Création d’un test

  • Arrêtez tous les tests de l’Optimiseur de Site en cours.
  • Supprimez tous les scripts de l’Optimiseur de Site de votre site.
  • Créez un test comme vous le faites habituellement. Les nouveaux tests ne sont pas vulnérables.
  • Mise à jour directe du script de contrôle de l’Optimiseur de Site
  • 1. Localisez le script de contrôle sur votre site. Il se présente comme suit :

    Localisez le code suivant dans le script de contrôle : return c.substring(…
    Modifiez la ligne suivante comme indiqué :
    AVANT : return c.substring(i+n.length+1,j<0?c.length:j) CODE CORRIGÉ : return escape(c.substring(i+n.length+1,j<0?c.length:j)) Veillez à inclure la parenthèse fermante finale ")".

    Notez que, dans les exemples de script de contrôle ci-dessus, la ligne k=XXXXXXXXX constitue un espace réservé.

    Une fois que vous aurez effectué cette mise à jour, votre test se poursuivra normalement. Vous n’avez pas besoin de le mettre en veille ou de le redémarrer.

    Nous avons pris l’engagement de garantir la sécurité de l’Optimiseur de Site et nous regrettons vivement ce problème. Nous nous efforcerons d’éviter toute autre vulnérabilité à l’avenir.

    Cordialement,
    Trevor
    Équipe de l’Optimiseur de Site Google

2 réponses sur “Problème de sécurité dans l’Optimiseur de Site”

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *