Publié le 06-07-2007 dans le thème HaideD

Pays : France - Auteur : Damien Bancal

Pub : Participez à des batailles navales sanglantes et gagnez 10000 € sur Bigpoint.fr

Voilà une faille comme on n'en voit pas souvent, et heureusement d'ailleurs. La rédaction de ZATAZ.COM était capable d'accéder à n'importe quel compte appartenant aux clients du Fournisseur d'Accès à Internet Noos. Comment, malheureusement très simplement. Il suffisait d'écrire à un membre Noos, en lui fournissant une adresse d'un site pour récupérer une donnée qui ouvrait ensuite accès aux comptes mels de la potentielle victime. Nous tenons, d'ailleurs, à remercier les 99 lecteurs testeurs qui nous ont donné l'autorisation de tester et vérifier cette faille aussi originale que simple d'utilisation. "Une ménagère de plus de 50 ans est capable de l'employer ?" nous demandait une responsable de la communication chez Noos. La réponse lui a été apportée par le webmaster du portail de la société que nous avons pu joindre par téléphone. "Effectivement, nous remontons l'information de suite à notre DGI".

Action pirate en deux temps, trois mouvements

Ce type de faille a de quoi faire froid dans le dos. "En vérifiant les logs de connexion à ZATAZ, explique notre responsable technique, Eric Romang, j'ai vu apparaitre des urls plutôt étrange". Tellement étrange qu'il ouvrait accès aux comptes mels des clients Noos. Nous ne savons pas depuis quand cette faille était accessible. Espérons seulement qu'un pirate n'aura pas eu la mauvaise idée de la découvrir avant nous.

Imaginez, voici un cas d'école : Le pirate récolte par le biais d'un robot toutes les adresses mels Noos qu'il trouve sur Internet. Il diffuse, sous forme de spam, un courriel contenant un lien vers un site aspirateur. Il lui suffit, ensuite, de lire les logs apache, le referer, c'est à dire la source du "hit". Il ne reste plus au pirate qu'à utiliser ce "referer" et à détourner la session de l'utilisateur connecté à son webmail. Mais heureusement, ce cas d'école n'aura pas lieu. ZATAZ.COM est passé par là avant !

Regarder gratuitement et légalement le nouveau film de Michael Moore

Le réalisateur américain Michael Moore va propose aux américains de visionner gratuitement et légalement sur Internet son prochain brulot cinématographique, Slacker Uprising.

Un virus sur le site du Nouvel Observateur

Étrange apparition sur le site officiel du journal Le Nouvel Observateur. Une alerte virus informatique inquiétante.

La France diffuse des brochures pour protéger les enfants sur Internet

La secrétaire d'État à la Famille, Nadine Morano, lance une campagne d'information via 4.5 millions de brochures afin de protéger les enfants sur Internet.

18 mois de prison pour une sale e-blague

Un étudiant écope de 18 mois de prison ferme pour avoir poster sur un site du gouvernement Chinois une fausse alerte au tremblement de terre.

Un pirate nord-coréen arrêté pour e-espionnage

Un internaute de 34 ans arrêté pour avoir orchestré un espionnage électronique très ciblé à l'encontre du Ministère de la Défense.

12 millions de nouvelles données bancaires dans la nature

En février dernier, une banque new-yorkaise annonçait avoir perdu 4 millions de données bancaires. Il semble que cela soit trois fois plus.

Des bulletins de votes optiques disparaissent en Floride

Les élections présidentielles américaines arrivent. Déjà les premiers problèmes informatiques annoncés.

StoneGate VPN SSL

Stonesoft intègre des méthodes d’authentification forte dans son appliance StoneGate VPN SSL. Afin de fournir une sécurité efficace, le constructeur finlandais enrichit son VPN SSL de l’authentification forte.

C'est la rentrée... des fuites de données

Exclu : L'assureur MGEL n'assure pas la protection de certaines données fournies par des lycéens Français.

URL à pirate pour Flixster Facebook

L'espace FaceBook du portail communautaire Flixster pourrait servir à piéger les internautes. Explication.

La Caisse d'Epargne corrige sa faille

Un probléme informatique affichait des informations sensibles sur un des sites de la banque Caisse d'Epargne.

SOS Racisme sauvé des pirates

Une faille de sécurité découverte sur le serveur Internet de SOS Racisme ouvrait l'accès aux petits secrets de l'association.

Un site de rencontre sauvé des pirates informatiques

Le site de rencontres LovinSide a eu chaud. Un problème de sécurité a pu être corrigé grâce à l'aide d'un cyber-citoyen.

Goolag, la vache folle n'est pas morte

Les hackers du cDc, CULT OF THE DEAD COW, viennent de mettre en ligne GoolagScan, un scanner de site Internet à la sauce Google.

SkyRecon identifie une nouvelle vulnérabilité dans Windows

SkyRecon est à l’origine de la découverte d’une faille du système Active Directory récemment corrigée par Microsoft.

Entrevue a eu chaud aux fesses !

Le site Internet du magazine Entrevue a eu chaud ! Un accès à l'administration du site ouvert aux pirates. L'ensemble des informations pouvaient être modifiées.

Réagissez à ce contenu