Grosse faille de sécurité chez Noos
Le
Yannick P.
http://www.zataz.com/news/14449/noos-webmail.html
Exclu : La rédaction de ZATAZ.COM pouvait accéder à n'importe quel compte
mel des clients du FAI Noos.
Voilà une faille comme on n'en voit pas souvent, et heureusement d'ailleurs.
La rédaction de ZATAZ.COM était capable d'accéder à n'importe quel compte
appartenant aux clients du Fournisseur d'Accès à Internet Noos. Comment,
malheureusement très simplement. Il suffisait d'écrire à un membre Noos, en
lui fournissant une adresse d'un site pour récupérer une donnée qui ouvrait
ensuite accès aux comptes mels de la potentielle victime. Nous tenons,
d'ailleurs, à remercier les 99 lecteurs testeurs qui nous ont donné
l'autorisation de tester et vérifier cette faille aussi originale que
simple d'utilisation. "Une ménagère de plus de 50 ans est capable de
l'employer ?" nous demandait une responsable de la communication chez Noos.
La réponse lui a été apportée par le webmaster du portail de la société que
nous avons pu joindre par téléphone. "Effectivement, nous remontons
l'information de suite à notre DGI".
Ce type de faille a de quoi faire froid dans le dos. "En vérifiant les logs
de connexion à ZATAZ, explique notre responsable technique, Eric Romang,
j'ai vu apparaitre des urls plutôt étrange". Tellement étrange qu'il
ouvrait accès aux comptes mels des clients Noos. Nous ne savons pas depuis
quand cette faille était accessible. Espérons seulement qu'un pirate n'aura
pas eu la mauvaise idée de la découvrir avant nous.
Imaginez, voici un cas d'école : Le pirate récolte par le biais d'un robot
toutes les adresses mels Noos qu'il trouve sur Internet. Il diffuse, sous
forme de spam, un courriel contenant un lien vers un site aspirateur. Il
lui suffit, ensuite, de lire les logs apache, le referer, c'est à dire la
source du "hit". Il ne reste plus au pirate qu'à utiliser ce "referer" et à
détourner la session de l'utilisateur connecté à son webmail. Mais
heureusement, ce cas d'école n'aura pas lieu. ZATAZ.COM est passé par là
avant !
Exclu : La rédaction de ZATAZ.COM pouvait accéder à n'importe quel compte
mel des clients du FAI Noos.
Voilà une faille comme on n'en voit pas souvent, et heureusement d'ailleurs.
La rédaction de ZATAZ.COM était capable d'accéder à n'importe quel compte
appartenant aux clients du Fournisseur d'Accès à Internet Noos. Comment,
malheureusement très simplement. Il suffisait d'écrire à un membre Noos, en
lui fournissant une adresse d'un site pour récupérer une donnée qui ouvrait
ensuite accès aux comptes mels de la potentielle victime. Nous tenons,
d'ailleurs, à remercier les 99 lecteurs testeurs qui nous ont donné
l'autorisation de tester et vérifier cette faille aussi originale que
simple d'utilisation. "Une ménagère de plus de 50 ans est capable de
l'employer ?" nous demandait une responsable de la communication chez Noos.
La réponse lui a été apportée par le webmaster du portail de la société que
nous avons pu joindre par téléphone. "Effectivement, nous remontons
l'information de suite à notre DGI".
Ce type de faille a de quoi faire froid dans le dos. "En vérifiant les logs
de connexion à ZATAZ, explique notre responsable technique, Eric Romang,
j'ai vu apparaitre des urls plutôt étrange". Tellement étrange qu'il
ouvrait accès aux comptes mels des clients Noos. Nous ne savons pas depuis
quand cette faille était accessible. Espérons seulement qu'un pirate n'aura
pas eu la mauvaise idée de la découvrir avant nous.
Imaginez, voici un cas d'école : Le pirate récolte par le biais d'un robot
toutes les adresses mels Noos qu'il trouve sur Internet. Il diffuse, sous
forme de spam, un courriel contenant un lien vers un site aspirateur. Il
lui suffit, ensuite, de lire les logs apache, le referer, c'est à dire la
source du "hit". Il ne reste plus au pirate qu'à utiliser ce "referer" et à
détourner la session de l'utilisateur connecté à son webmail. Mais
heureusement, ce cas d'école n'aura pas lieu. ZATAZ.COM est passé par là
avant !
Poser une question
Tu es payé combien pour écrire ces médisances de toutes sortes sur Noos? Je
tiens à te préciser que Noos à changer de nom mais apparemment tu n'es pas
encore au courant. Manque d'information, peut-être.
Demande conseil à Zataz ils savent tout d'après toi. :o))))
annick P." message de news: 468f7ff1$0$11989$
Scuzez moi de déranger..
1 - Depuis quand Noos a changé de nom ? et quel est le nouveau nom (je
demande juste, parce qu'ils ne savent pas encore chez eux...)
2 - La faille fut bien réelle... et corrigée depuis semble-t-il... mais
pas de quoi en faire un fromage tout de même...
:-)
Actuellement, on doit en être à Noos Numericable...
C'était uniquement parce que ce forum est désert. ;-)
Et apparement Numericable tout court dans quelques jours
Moi je dirais lecable.fr ;-)
--
Free attaque un de ses clients au pénal !
Vous avez été prélevé indûment ? vous n'avez jamais été remboursé ?
vous payez mensuellement pour un service partiel (ou nul) ?? FAITES-LE
SAVOIR !
Contactez Nonal dès maintenant et apportez-lui
votre témoignage, afin que de tels abus cessent !
http://www.freeks-forums.org/forums...ntry442786