Publié par UnderNews Actu - Télécharger l'application Android

Nous vous parlions il y quelque temps de Digiposte, le nouveau service de La Poste qui semblait poser quelques problèmes de sécurité.

Le blogueur bien connu Paul Da Silva avait rédigé un article à son sujet qui expliquait qu’il y avait des raisons de douter de la sécurité du site… Suite à cela, un internaute Français connu sous le nom de Arfing à réalisé un audit de sécurité plus poussé du site.

Ce qui a permis à ce dernier de mettre en avant une nouvelle faille sur le site Digiposte, ce qui prouve encore une fois que la sécurité des sites Internet des entreprises est négligée. Ce qui est très dommageable pour un service qui, ironie du sort, déclare haut et fort être sécurisé et totalement fiable. Ce qui est primordial vu le contexte : il est question ici de proposer un espace de stockage sécurisé afin d’y stocker des documents confidentiels…

Cette fois-ci, la faille de sécurité se situe dans l’espace membre (le panneau utilisateur). Il faut donc être connecté pour l’exploiter.

La faille de type Cross Site Scripting (ou XSS) est bien entendu exploitable (redirection vers un site pirate pour du phishing, vol de cookie et/ou de session, prise de contrôle du navigateur de l’internaute, etc…). Bref, le précieux documents ne sont plus à l’abri.

HMA Pro VPN

Suite à l’annonce de cette nouvelle vulnérabilité, un expert en sécurité du groupe La Poste aimablement proposé de faire remonter l’information afin qu’une correction soit apportée au plus vite (merci à lui et félicitation pour sa réactivité). C’est maintenant chose faite. Reste à espérer que d’aures failles ne soient pas passées à la trappe…

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (1 votes, note : 4,00 sur 5)
Loading...

Mots clés : , , , , ,

Recherches en relation :

  • faille digiposte
  • digiposte android
  • digiposte securite
  • sécurité digiposte
  • digiposte

Vos réactions
  1. T.W.R

    ci-joint un screen avec un fichier php tres connus donc apparement ce n’est pas du xss qu’il faut ce mefier mais de bien d’autre failles

    http://imageshack.us/photo/my-images/5/digipostemdr.jpg/

  2. T.W.R

    preuve que l’ons peut faire croire ce que l’ons veut vous reconnaiterez le fichier “php” sur le screen ci joint (donc arfing) je rigole sans vouloir rgler quoique ce soit ici biensur mais essayons de mettre des choses reelles

    [URL=http://imageshack.us/photo/my-images/5/digipostemdr.jpg/][IMG]http://img5.imageshack.us/img5/3296/digipostemdr.jpg[/IMG][/URL]

    Uploaded with [URL=http://imageshack.us]ImageShack.us[/URL]

  3. UnderNews UnderNews

    Faille confirmée par le groupe La Poste.

  4. yohann62(the white rabbit

    @ voir pas sur de la faille cela ressemble tres fortement à un fake style inscription pui depot d’un simple code html enfin cela n’engage que moi@suivre





Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.