Orange : des milliers d'informations privées exposées

Les clients Orange qui depuis leur compte Internet (via l'interface de gestion) souhaitent vérifier leurs commandes ont actuellement droit à ce message : " En raison d'une opération de maintenance, le service est momentanément indisponible. Réouverture du site prévue le 05 janvier 2009 à partir de 17h ". La faute en " incombe " au site ZATAZ.

Le site spécialisé dans les questions de sécurité informatique indique en effet avoir mis le doigt sur une vulnérabilité de cette section du portail d'Orange qui a permis pendant " plusieurs semaines " un accès à quelque 400 000 fiches clients du FAI. Selon ZATAZ, le protocole https assurant l'internaute d'une connexion sécurisée " ne servait pas à grand chose " puisqu'il suffisait de " modifier les chiffres de fin de l'URL " afin d'accéder au suivi de commande d'une autre personne. Une vidéo de cet exploit est proposée.

Parmi les informations livrées en pâture, l'identité du client, son adresse, les services souscris, le code d'accès, le numéro de téléphone ou encore les numéros de série de matériels. Le plus heureux est que ZATAZ n'ait pas ébruité cette affaire avant d'en informer Orange et que celui-ci entame ses opérations de maintenance, avec donc le retour d'un site sécurisé promis pour 17h.