Un trou flagrant sur le site d’American Express

Selon des experts en sécurité informatique, une vulnérabilité sur le site American Express aurait exposé les utilisateurs aux attaques durant deux semaines, nous apprend The Register. Une faille qui contreviendrait aux règles de gouvernance mises en place dans l’industrie des cartes de crédits selon Russ McRee, du blog spécialisé Holistic Security. Entre autres problèmes, une faille XSS sur les pages du site americanexpress.com permettait à un pirate de récupérer les données utilisateurs contenues dans les cookies d’authentification qui facilitent l’exploitation du service après identification. Surtout, selon Russ McRee, American Express a mis plus de deux semaines à découvrir et surtout à régler le problème… après avoir reçu moult mails du chercheur.

Une information qui fait un peu désordre alors même qu’American Express vient d’être proclamée « entreprise en laquelle on peut avoir le plus confiance en matière de protection des données personnelles » par un sondage organisé par le Ponemon Institute, un groupe de réflexion spécialisé sur le sujet.