Orange.fr : un quart de million de mots de passe menacés ?

Le par  |  9 commentaire(s)
logo Orange

Le portail Orange.fr aurait été sensible à une attaque par injection SQL. Selon le découvreur de la vulnérabilité, quelque 245 000 mots de passe ont ainsi pu être exposés en clair.

logo OrangeLe blog roumain HackersBlog publie ce jour un billet ironiquement intitulé " Orange is so cool " et remerciant le portail Orange dans sa déclinaison française pour sa générosité en exposant à la vue de quelques cybercriminels le contenu de près de 245 000 comptes avec adresse e-mail du titulaire, nom et prénom, ainsi que le mot de passe, étant précisé en plain text autrement dit en texte clair ( ou simple ).

Cette révélation de données sensibles a eu lieu sur la page du jeu concours " La photo mystère " d'Orange via une attaque par injection SQL. En guise de preuve de concept, deux captures d'écran où l'on apprendra également le recours à un serveur Debian 4.0 ( puisque Etch ) avec MySQL 5.0.23 :

Orange_Photo_Mystere_Hack_1 Orange_Photo_Mystere_Hack_2

Le jeu concours a pris fin il y a une dizaine de jours. Le découvreur de la vulnérabilité a pour sa part averti Orange de sa trouvaille, et actuellement la section du portail incriminée est inaccessible. Faut-il en déduire que les utilisateurs ayant participé à ce jeu doivent modifier leur mot de passe ? C'est en tout cas le conseil déjà prodigué par des spécialistes de la sécurité informatique comme Trend Micro, d'autant que les mots de passe ont tendance à être les mêmes pour diverses utilisations ( pas seulement un jeu ).

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #464171
Mais mdr, le gars qui a fait ça a codé comme une merde. On peut carrément écrire une requête SQL dans l'adresse du site d'après les screenshot.
Le #464191
yoadip >Suffit de lire la news, c'est de l'injection SQL.

Par contre, l'usage intensif du GET, berk !
Le #464201
Le problème d'Orange c'est qu'il met en place de nouveaux services qui n'ont pas été testés suffisamment, cette page concours est un nouveau cas de bâclage de cette entreprise.
Le #464271
Tilt56 >Il n'y a pas que Orange, c'est partout pareil à vrais dire ...
Le #464361
On cherche a économiser 1 euro alors on fait de la merde et on en perd 10, c'est pas nouveau et c'est pas propre a Orange mais a la plupart des boites aujourd'hui...
Le #464451
et que dire de leur portail pour la livebox! Chez mon beau père, je passe qq jour, bon je connecte avec son accord, mon portable linux sur sa box en wifi (lui en ethernet) et quand je vais sur orange.fr pour voir mon compte de portable, hop, je vois tous ses emails ! ouai! super la sécurité!
conclusion: quiconque passe par sa livebox voit son courrier
je comprends pas trop le truc super commercial de ouf qu'il y a derrière, là!
mais c'est vrai que je suis pas admin réseau chez orange.
Le #464481
rsuinux>Cela doit être config sur cette livebox, car chez la mienne il faut toujours un mot de pass (listage des comptes selons IP mais obligé d'entrée un MDP).
Le #464511
moi c'est pire
pour configurer mon routeur pour surfer sur internet je ne rentre que mon identifiant reseau (le truc qui commence par : fti/) et le mot de passe
et absolument pas mon adresse mail ni son mot de passe
je ne sais d'ailleur pas ou on doit la configurer
et pourtant j'arrive a me connecter a ma boite mail sans entrer de mot de passe
et quiqonque qui se connecter en eterneth ou wifi peut voir mon compte aussi....

Le #464521
Salut,

Ça dépends simplement du nombre de comptes e-mail orange secondaires que vous possédez... Créez-en un second et vous verrez, vous ne serez plus connecté sur le principal par défaut lors de l'affichage de la page d'accueil Orange
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]