« Vous pensez tout savoir ? Vous n’avez pas idée… ».Avec son petit lapin rose et son slogan provocateur, la bannière parue ce week-end sur le site de SecurityFocus aurait pu être une vraie publicité. Mais voilà, signée Fluffi Bunni, elle prend une tout autre signification. Pour la plupart des internautes, elle est amusante. Pour les administrateurs du site web, c’est une attaque. Pour le reste du monde, c’est tout simplement le rappel que la meilleure des sécurité est inutile si les partenaires sont mal choisis.Dans le cas de SecurityFocus.com, la faille était chez la régie publicitaire. En exploitant une vulnérabilité connue dans OpenSSH, les pirates de Fluffi Bunni sont parvenus à ajouter leur banière à la liste de celles destinées à SecurityFocus. Le serveur de publicité de la régie a ensuite fait le reste.L’affaire n’est pas grave, mais elle a le mérite de montrer le danger d’offrir à ses partenaires un accès direct à son système d’information. Les responsables de SecurityFocus étaient certainement au courant de la faille récemment découverte dans OpenSSH, et ils l’avaient sans doute corrigée s’ils l’utilisent. Hélas, il a suffit d’un partenaire peu soucieux de sa sécurité pour compromettre le site.La bannière insérée par Fluffi Bunni sur SecurityFocus