http://www.zataz.com/news/14449/noos-webmail.html
Exclu : La rédaction de ZATAZ.COM pouvait accéder à n'importe quel compte
mel des clients du FAI Noos.
Voilà une faille comme on n'en voit pas souvent, et heureusement d'ailleurs.
La rédaction de ZATAZ.COM était capable d'accéder à n'importe quel compte
appartenant aux clients du Fournisseur d'Accès à Internet Noos. Comment,
malheureusement très simplement. Il suffisait d'écrire à un membre Noos, en
lui fournissant une adresse d'un site pour récupérer une donnée qui ouvrait
ensuite accès aux comptes mels de la potentielle victime. Nous tenons,
d'ailleurs, à remercier les 99 lecteurs testeurs qui nous ont donné
l'autorisation de tester et vérifier cette faille aussi originale que
simple d'utilisation. "Une ménagère de plus de 50 ans est capable de
l'employer ?" nous demandait une responsable de la communication chez Noos.
La réponse lui a été apportée par le webmaster du portail de la société que
nous avons pu joindre par téléphone. "Effectivement, nous remontons
l'information de suite à notre DGI".
Ce type de faille a de quoi faire froid dans le dos. "En vérifiant les logs
de connexion à ZATAZ, explique notre responsable technique, Eric Romang,
j'ai vu apparaitre des urls plutôt étrange". Tellement étrange qu'il
ouvrait accès aux comptes mels des clients Noos. Nous ne savons pas depuis
quand cette faille était accessible. Espérons seulement qu'un pirate n'aura
pas eu la mauvaise idée de la découvrir avant nous.
Imaginez, voici un cas d'école : Le pirate récolte par le biais d'un robot
toutes les adresses mels Noos qu'il trouve sur Internet. Il diffuse, sous
forme de spam, un courriel contenant un lien vers un site aspirateur. Il
lui suffit, ensuite, de lire les logs apache, le referer, c'est à dire la
source du "hit". Il ne reste plus au pirate qu'à utiliser ce "referer" et à
détourner la session de l'utilisateur connecté à son webmail. Mais
heureusement, ce cas d'école n'aura pas lieu. ZATAZ.COM est passé par là
avant !