Digiposte : la poste garde vos données en toute sécurité… ou pas !

3

La poste a sorti hier un nouveau service : Digiposte. L’idée de ce service est de « sauvegarder et protéger vos données », on vous encourage à y stocker tous les documents confidentiels dont vous pouvez avoir besoin, … Bref un beau repos de données confidentielles qui intéresseront moultes hackers mal-intentionnés.

Paul Da Silva a mis en avant sur son blog une faille XSS présente dans le formulaire d’identification du site de La Poste dédié au service Digiposte :

Comme il le dit si bien, ce n’est juste qu’après un rapide coup d’œil, ce n’est en aucun cas un audit de sécurité complet. « Il y a fort à parier que si une erreur aussi basique (qui permet juste, encore une fois, de récupérer la session d’un utilisateur connecté) traine, d’autres soient aussi là », déclare ce dernier.

Paul Da Silva ajoute aussi « que la méthode d’authentification de ce site est insupportable, basée sur deux mots de passe dont un que l’on doit donner en entier et le second en partie… Ça ne sert à rien si on peut gentiment récupérer l’identifiant de session d’un utilisateur déjà connecté… ».

En résumé, la confiance accordée à ce nouveau service n’est pas à l’ordre du jour !

 

Article original de Paul Da Silva.

3 Commentaires

  1. Excellent article et excellent service de la poste, mais …
    à part presque 20 entreprises qui ont fait accord avec laposte pour recevoir les fiches de paie des salariés comme orange edenis, etc, les autres employés des autres entreprises ne peut pas y trouver leurs bulletin de salaire.

Répondre à Vulnérabilité pour un site de la poste « Cyberactus Annuler la réponse

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.