[Résolu] Vol de données

Bonjour,

ma question concerne la possibilité, pour un site distant, de lire le remplissage d'un formulaire, avant la validation d'envoi des données. Je ne connais pas grand chose en php et formulaires.

Serait-il possible, pour un site malveillant, d'intercepter ce que le visiteur inscrit dans le formulaire, sans qu'il y ait eu une validation de sa part ?

Circule en ce moment un mail frauduleux qui invite à se connecter sur un faux site des impôt, faux très bien imité, le logo, les couleurs, tout. Il y a un formulaire à remplir et à valider, après avoir inscrit les coordonnées de la carte bancaire !

Merci de m'éclairer sur ce point.

Je crains que oui: la page peut contenir un script qui envoie le contenu des <input> à chaque modification de cette zone sans que l'utilisateur valide quoi que ce soit, en utilisant AJAX par exemple.

Bonjour,

le genre de pratiques que tu décris utilise en général un autre site (une copie) afin de piéger les utilisateurs mais cela ne récupère pas les données directement depuis ton site à toi (ou le site des impôts dans ton exemple) car pour faire cela il faudrait un accès au serveur pour modifier le code de la page.
Modifié par bacasable (06 Jan 2020 - 15:57)

La question porte sur la récupération des données d'un formulaire, pas la récupération des données du PC ou du site des impôts.
Si quelqu'un fait une pages en recopiant celle du site des impots, il peut y mettre ce qu'il veut, en particulier des addEventLIstener('change', codeespion) sur toutes les balises <input>
le code espion peut envoyer les données par AJAX sans que l'utilisateur ait cliqué sur le bouton OK.
Par conséquent il ne faut pas croire que des données entrées dans le formulaire n'ont pas été détournées tant qu'on n'a pas cliqué sur le bouton OK

Oui, bacasable, il ne s'agit pas d'une attaque sur mon site, ni sur celui des impôts. C'est un mail reçu qui annonce un remboursement de trop perçu d'impôt et qui demande d'aller sur le site (faux) afin d'encaisser ce remboursement. C'est sans doute PapyJP qui a raison et c'est inquiétant. Noscript devrait aussi protéger contre ce genre d'attaque. À voir.
Je ne sais pas si je peux mettre ce faux site en lien ici. J'ai regardé le code source, c'est bourré de scripts.

On dit la même chose en fait. Par contre il parle d'un site distant et donc je lui répond que c'est impossible pour un site extérieur.

En js bien évidemment tu peux tout faire. Maintenant ce genre de sites sont généralement fait grossièrement donc je doute que ce genre de chose soient prévues.

Et noscript ne changera pas grand chose, l'important est de ne pas mettre son code de CB n'importe où. Notamment sur le site de impôts où les paiement ne se font pas par carte bancaire
Modifié par bacasable (06 Jan 2020 - 18:21)

On est d'accord, mais on est pas rassuré. Et je ne suis pas certain que les personnes qui engagent ce genre de pratiques ne soient pas de fins développeurs. C'est trop tentant de piéger ceux qui n'appuient pas sur le bouton "valider". E il n'y a pas que les impôts, tous les sites de vente peuvent être imités. On a donc répondu à ma question, on ne peut rien faire contre ça, techniquement parlant.
Merci.

Bongota a écrit :
Oui, bacasable, il ne s'agit pas d'une attaque sur mon site, ni sur celui des impôts. C'est un mail reçu qui annonce un remboursement de trop perçu d'impôt et qui demande d'aller sur le site (faux) afin d'encaisser ce remboursement. C'est sans doute PapyJP qui a raison et c'est inquiétant. Noscript devrait aussi protéger contre ce genre d'attaque. À voir.
Je ne sais pas si je peux mettre ce faux site en lien ici. J'ai regardé le code source, c'est bourré de scripts.

Déjà, le bon sens devrait te dicter que les notifications de remboursement des impôts ne sont jamais annoncées par mail... mais par courrier.
De plus, dans ce genre de situation, moi je me connecterais sur le vrai site des impôts (pas cliquer sur le lien fournit dans le mail), je créerais un compte si je n'en avais pas et ensuite si j'avais vraiment un remboursement je le trouverais bien.

J'ai bien compris tes réserves, et d'ailleurs, je ne suis pas tombé dans le piège. Oui, j'ai un compte aux impôts et je sais qu'ils remboursent toujours par chèque, mais j'effectue aussi des transactions par carte bancaire avec eux, en tant qu'auto-entrepreneur. J'ai juste profité de ce mail, que je ne reçois pas d'ordinaire, pour questionner au sujet des failles de ces formulaires. Parce qu'il s'agit bien d'une faille, si PapyJP a raison. Même si on appelle pas ça une faille.
Des millions de personnes ne sont pas au fait de ces problèmes et parmi elles, certaines vont commencer à remplir un formulaire, avant de deviner l'arnaque. Et les formulaires sont utilisés par tous les sites de vente en ligne pour qui il n'est pas question d'envoi par chèque de remboursement, mais juste du paiement d'un achat. Et combien d'entre nous remplissent un formulaire pour un billet d'avion ou de train à bas prix, avec nom, prénom, âge, etc, et changent d'avis au dernier moment, pour une autre date ou un autre tarif.