Digiposte : la sécurité du service de nouveau mise en cause

4
246

Nous vous parlions il y quelque temps de Digiposte, le nouveau service de La Poste qui semblait poser quelques problèmes de sécurité.

Le blogueur bien connu Paul Da Silva avait rédigé un article à son sujet qui expliquait qu’il y avait des raisons de douter de la sécurité du site… Suite à cela, un internaute Français connu sous le nom de Arfing à réalisé un audit de sécurité plus poussé du site.

Ce qui a permis à ce dernier de mettre en avant une nouvelle faille sur le site Digiposte, ce qui prouve encore une fois que la sécurité des sites Internet des entreprises est négligée. Ce qui est très dommageable pour un service qui, ironie du sort, déclare haut et fort être sécurisé et totalement fiable. Ce qui est primordial vu le contexte : il est question ici de proposer un espace de stockage sécurisé afin d’y stocker des documents confidentiels…

Cette fois-ci, la faille de sécurité se situe dans l’espace membre (le panneau utilisateur). Il faut donc être connecté pour l’exploiter.

La faille de type Cross Site Scripting (ou XSS) est bien entendu exploitable (redirection vers un site pirate pour du phishing, vol de cookie et/ou de session, prise de contrôle du navigateur de l’internaute, etc…). Bref, le précieux documents ne sont plus à l’abri.

Suite à l’annonce de cette nouvelle vulnérabilité, un expert en sécurité du groupe La Poste aimablement proposé de faire remonter l’information afin qu’une correction soit apportée au plus vite (merci à lui et félicitation pour sa réactivité). C’est maintenant chose faite. Reste à espérer que d’aures failles ne soient pas passées à la trappe…

4 Commentaires

  1. preuve que l’ons peut faire croire ce que l’ons veut vous reconnaiterez le fichier “php” sur le screen ci joint (donc arfing) je rigole sans vouloir rgler quoique ce soit ici biensur mais essayons de mettre des choses reelles

    [URL=http://imageshack.us/photo/my-images/5/digipostemdr.jpg/][IMG]http://img5.imageshack.us/img5/3296/digipostemdr.jpg[/IMG][/URL]

    Uploaded with [URL=http://imageshack.us]ImageShack.us[/URL]

  2. @ voir pas sur de la faille cela ressemble tres fortement à un fake style inscription pui depot d’un simple code html enfin cela n’engage que moi@suivre

Les commentaires sont fermés.