Grosse faille de sécurité chez Noos

Le
Yannick P.
http://www.zataz.com/news/14449/noos-webmail.html

Exclu : La rédaction de ZATAZ.COM pouvait accéder à n'importe quel compte
mel des clients du FAI Noos.


Voilà une faille comme on n'en voit pas souvent, et heureusement d'ailleurs.
La rédaction de ZATAZ.COM était capable d'accéder à n'importe quel compte
appartenant aux clients du Fournisseur d'Accès à Internet Noos. Comment,
malheureusement très simplement. Il suffisait d'écrire à un membre Noos, en
lui fournissant une adresse d'un site pour récupérer une donnée qui ouvrait
ensuite accès aux comptes mels de la potentielle victime. Nous tenons,
d'ailleurs, à remercier les 99 lecteurs testeurs qui nous ont donné
l'autorisation de tester et vérifier cette faille aussi originale que
simple d'utilisation. "Une ménagère de plus de 50 ans est capable de
l'employer ?" nous demandait une responsable de la communication chez Noos.
La réponse lui a été apportée par le webmaster du portail de la société que
nous avons pu joindre par téléphone. "Effectivement, nous remontons
l'information de suite à notre DGI".

Ce type de faille a de quoi faire froid dans le dos. "En vérifiant les logs
de connexion à ZATAZ, explique notre responsable technique, Eric Romang,
j'ai vu apparaitre des urls plutôt étrange". Tellement étrange qu'il
ouvrait accès aux comptes mels des clients Noos. Nous ne savons pas depuis
quand cette faille était accessible. Espérons seulement qu'un pirate n'aura
pas eu la mauvaise idée de la découvrir avant nous.

Imaginez, voici un cas d'école : Le pirate récolte par le biais d'un robot
toutes les adresses mels Noos qu'il trouve sur Internet. Il diffuse, sous
forme de spam, un courriel contenant un lien vers un site aspirateur. Il
lui suffit, ensuite, de lire les logs apache, le referer, c'est à dire la
source du "hit". Il ne reste plus au pirate qu'à utiliser ce "referer" et à
détourner la session de l'utilisateur connecté à son webmail. Mais
heureusement, ce cas d'école n'aura pas lieu. ZATAZ.COM est passé par là
avant !
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Rodolphe
Le #1255971
Tu penses qu'on va la croire celle-là? Elle est un peu trop grosse
Tu es payé combien pour écrire ces médisances de toutes sortes sur Noos? Je
tiens à te préciser que Noos à changer de nom mais apparemment tu n'es pas
encore au courant. Manque d'information, peut-être.
Demande conseil à Zataz ils savent tout d'après toi. :o))))

annick P." message de news: 468f7ff1$0$11989$
http://www.zataz.com/news/14449/noos-webmail.html

Exclu : La rédaction de ZATAZ.COM pouvait accéder à n'importe quel compte
mel des clients du FAI Noos.


Voilà une faille comme on n'en voit pas souvent, et heureusement
d'ailleurs.
La rédaction de ZATAZ.COM était capable d'accéder à n'importe quel compte
appartenant aux clients du Fournisseur d'Accès à Internet Noos. Comment,
malheureusement très simplement. Il suffisait d'écrire à un membre Noos,
en
lui fournissant une adresse d'un site pour récupérer une donnée qui
ouvrait
ensuite accès aux comptes mels de la potentielle victime. Nous tenons,
d'ailleurs, à remercier les 99 lecteurs testeurs qui nous ont donné
l'autorisation de tester et vérifier cette faille aussi originale que
simple d'utilisation. "Une ménagère de plus de 50 ans est capable de
l'employer ?" nous demandait une responsable de la communication chez
Noos.
La réponse lui a été apportée par le webmaster du portail de la société
que
nous avons pu joindre par téléphone. "Effectivement, nous remontons
l'information de suite à notre DGI".

Ce type de faille a de quoi faire froid dans le dos. "En vérifiant les
logs
de connexion à ZATAZ, explique notre responsable technique, Eric Romang,
j'ai vu apparaitre des urls plutôt étrange". Tellement étrange qu'il
ouvrait accès aux comptes mels des clients Noos. Nous ne savons pas depuis
quand cette faille était accessible. Espérons seulement qu'un pirate
n'aura
pas eu la mauvaise idée de la découvrir avant nous.

Imaginez, voici un cas d'école : Le pirate récolte par le biais d'un robot
toutes les adresses mels Noos qu'il trouve sur Internet. Il diffuse, sous
forme de spam, un courriel contenant un lien vers un site aspirateur. Il
lui suffit, ensuite, de lire les logs apache, le referer, c'est à dire la
source du "hit". Il ne reste plus au pirate qu'à utiliser ce "referer" et
à
détourner la session de l'utilisateur connecté à son webmail. Mais
heureusement, ce cas d'école n'aura pas lieu. ZATAZ.COM est passé par là
avant !


Me, myself & and I
Le #1255970
Ahem..
Scuzez moi de déranger..

1 - Depuis quand Noos a changé de nom ? et quel est le nouveau nom (je
demande juste, parce qu'ils ne savent pas encore chez eux...)
2 - La faille fut bien réelle... et corrigée depuis semble-t-il... mais
pas de quoi en faire un fromage tout de même...

:-)


Tu penses qu'on va la croire celle-là? Elle est un peu trop grosse
Tu es payé combien pour écrire ces médisances de toutes sortes sur Noos? Je
tiens à te préciser que Noos à changer de nom mais apparemment tu n'es pas
encore au courant. Manque d'information, peut-être.
Demande conseil à Zataz ils savent tout d'après toi. :o))))

annick P." message de news: 468f7ff1$0$11989$
http://www.zataz.com/news/14449/noos-webmail.html

Exclu : La rédaction de ZATAZ.COM pouvait accéder à n'importe quel compte
mel des clients du FAI Noos.


Voilà une faille comme on n'en voit pas souvent, et heureusement
d'ailleurs.
La rédaction de ZATAZ.COM était capable d'accéder à n'importe quel compte
appartenant aux clients du Fournisseur d'Accès à Internet Noos. Comment,
malheureusement très simplement. Il suffisait d'écrire à un membre Noos,
en
lui fournissant une adresse d'un site pour récupérer une donnée qui
ouvrait
ensuite accès aux comptes mels de la potentielle victime. Nous tenons,
d'ailleurs, à remercier les 99 lecteurs testeurs qui nous ont donné
l'autorisation de tester et vérifier cette faille aussi originale que
simple d'utilisation. "Une ménagère de plus de 50 ans est capable de
l'employer ?" nous demandait une responsable de la communication chez
Noos.
La réponse lui a été apportée par le webmaster du portail de la société
que
nous avons pu joindre par téléphone. "Effectivement, nous remontons
l'information de suite à notre DGI".

Ce type de faille a de quoi faire froid dans le dos. "En vérifiant les
logs
de connexion à ZATAZ, explique notre responsable technique, Eric Romang,
j'ai vu apparaitre des urls plutôt étrange". Tellement étrange qu'il
ouvrait accès aux comptes mels des clients Noos. Nous ne savons pas depuis
quand cette faille était accessible. Espérons seulement qu'un pirate
n'aura
pas eu la mauvaise idée de la découvrir avant nous.

Imaginez, voici un cas d'école : Le pirate récolte par le biais d'un robot
toutes les adresses mels Noos qu'il trouve sur Internet. Il diffuse, sous
forme de spam, un courriel contenant un lien vers un site aspirateur. Il
lui suffit, ensuite, de lire les logs apache, le referer, c'est à dire la
source du "hit". Il ne reste plus au pirate qu'à utiliser ce "referer" et
à
détourner la session de l'utilisateur connecté à son webmail. Mais
heureusement, ce cas d'école n'aura pas lieu. ZATAZ.COM est passé par là
avant !






Yannick P.
Le #1255969

1 - Depuis quand Noos a changé de nom ? et quel est le nouveau nom (je
demande juste, parce qu'ils ne savent pas encore chez eux...)


Actuellement, on doit en être à Noos Numericable...

2 - La faille fut bien réelle... et corrigée depuis semble-t-il... mais
pas de quoi en faire un fromage tout de même...


C'était uniquement parce que ce forum est désert. ;-)

ElBricou
Le #1255968

1 - Depuis quand Noos a changé de nom ? et quel est le nouveau nom (je
demande juste, parce qu'ils ne savent pas encore chez eux...)


Actuellement, on doit en être à Noos Numericable...


Et apparement Numericable tout court dans quelques jours


david
Le #1255967
"ElBricou" 4693cdc6$0$29035$

1 - Depuis quand Noos a changé de nom ? et quel est le nouveau nom (je
demande juste, parce qu'ils ne savent pas encore chez eux...)


Actuellement, on doit en être à Noos Numericable...


Et apparement Numericable tout court dans quelques jours


Moi je dirais lecable.fr ;-)

--
Free attaque un de ses clients au pénal !
Vous avez été prélevé indûment ? vous n'avez jamais été remboursé ?
vous payez mensuellement pour un service partiel (ou nul) ?? FAITES-LE
SAVOIR !
Contactez Nonal dès maintenant et apportez-lui
votre témoignage, afin que de tels abus cessent !
http://www.freeks-forums.org/forums/index.php?showtopicB161&st=0&pD2786&#entry442786



Me, myself & and I
Le #1255966

1 - Depuis quand Noos a changé de nom ? et quel est le nouveau nom (je
demande juste, parce qu'ils ne savent pas encore chez eux...)


Actuellement, on doit en être à Noos Numericable...

2 - La faille fut bien réelle... et corrigée depuis semble-t-il... mais
pas de quoi en faire un fromage tout de même...


C'était uniquement parce que ce forum est désert. ;-)


Tu as raison, il faudrait mettre un peu d'animation dans ce forum..

Bon... a part tirer (une fois de plus) sur l'ambulance aux pneus crevés,
on peut proposer quoi comme idées ? ;-)


Me, myself & and I
Le #1255965
"ElBricou" 4693cdc6$0$29035$

1 - Depuis quand Noos a changé de nom ? et quel est le nouveau nom (je
demande juste, parce qu'ils ne savent pas encore chez eux...)
Actuellement, on doit en être à Noos Numericable...

Et apparement Numericable tout court dans quelques jours



Moi je dirais lecable.fr ;-)
tsss ... c'etait un bug... tous chez numericable





David
Le #1255964

Bon... a part tirer (une fois de plus) sur l'ambulance aux pneus crevés,
on peut proposer quoi comme idées ? ;-)


Hé vi l'affaire de la publicité mensongère envers les syndics parisiens
va faire très, très mal... Sans compter que la ville de Paris qui a vu
son logo associé à cette affaire est aussi entrain d'attaquer...

Free la nouvelle ambulance de la FTTH?

;-)

http://www.freeks-forums.org/forums/index.php?showtopicF223

Rodolphe
Le #1255963
"Yannick P." a écrit dans le message de
news: 4693b988$0$4870$


C'était uniquement parce que ce forum est désert. ;-)


Ah d'accord, c'est tout ce que tu as trouvé, c'est juste ce qui te motive à
dénigrer?
Et bien c'est justement ce qui devrait te prouver qu'il n'y a pas de
problème avec le câble et en particulier chez "Numéricable". ;o)

Ça va faire 3 ans que j'y suis pour la télé, sans le moindre incident. J'ai
depuis un an le pack avec en plus le téléphone et l'internet 30 mégas et
j'en suis très satisfait, comme toutes mes connaissances qui en sont
équipés.

J'ai été 4 ans chez Free, je n'ai personnellement jamais eu de souci, à part
sur la fin où ma connexion est passée de 5 mégas à <1 méga et sans
amélioration, ce qui a motivé mon changement. Mais j'en connais par contre
qui n'en ont jamais été satisfait. Comme quoi il ne faut surtout pas
généraliser.

Yannick P.
Le #1259930

Ah d'accord, c'est tout ce que tu as trouvé,


Oui, désolé de ne pas être talentueux.

c'est juste ce qui te motive
à dénigrer?
[coupe]


Je NE dénigre PAS, j'ai cité un article.
Je suis passé directement de Club-Internet en 56K (mon premier FAI si l'on
excepte une journée chez Wanadoo...) à UPC il y a plusieurs années et je ne
me plains pas de ma connexion car elle marche très bien.
Noos n'est pas parfait, certes, mais j'essaierais l'ADSL si je n'étais
vraiment pas satisfait de Noos^W Numericable.

Je ne suis pas du genre à pleurnicher sur les forums.

Comme quoi il ne faut surtout pas
généraliser.


Je suis bien d'accord.

Publicité
Poster une réponse
Anonyme