Actualité

 

Noos avait un Os

Publié le 06-07-2007 à 16:27:10 dans le thème HaideD

Pays : France - Auteur : Damien Bancal


Pub : CD + DVD vierges - TV + Hifi. Cartouches d'encre - Console de jeux


Note des lecteurs: 3.3/5

Exclu : La rédaction de ZATAZ.COM pouvait accéder à n'importe quel compte mel des clients du FAI Noos.


Voilà une faille comme on n'en voit pas souvent, et heureusement d'ailleurs. La rédaction de ZATAZ.COM était capable d'accéder à n'importe quel compte appartenant aux clients du Fournisseur d'Accès à Internet Noos. Comment, malheureusement très simplement. Il suffisait d'écrire à un membre Noos, en lui fournissant une adresse d'un site pour récupérer une donnée qui ouvrait ensuite accès aux comptes mels de la potentielle victime. Nous tenons, d'ailleurs, à remercier les 99 lecteurs testeurs qui nous ont donné l'autorisation de tester et vérifier cette faille aussi originale que simple d'utilisation. "Une ménagère de plus de 50 ans est capable de l'employer ?" nous demandait une responsable de la communication chez Noos. La réponse lui a été apportée par le webmaster du portail de la société que nous avons pu joindre par téléphone. "Effectivement, nous remontons l'information de suite à notre DGI".

 

 

noos webmail

 

Action pirate en deux temps, trois mouvements

Ce type de faille a de quoi faire froid dans le dos. "En vérifiant les logs de connexion à ZATAZ, explique notre responsable technique, Eric Romang, j'ai vu apparaitre des urls plutôt étrange". Tellement étrange qu'il ouvrait accès aux comptes mels des clients Noos. Nous ne savons pas depuis quand cette faille était accessible. Espérons seulement qu'un pirate n'aura pas eu la mauvaise idée de la découvrir avant nous.

 

 

noos webmail
 

 

Imaginez, voici un cas d'école : Le pirate récolte par le biais d'un robot toutes les adresses mels Noos qu'il trouve sur Internet. Il diffuse, sous forme de spam, un courriel contenant un lien vers un site aspirateur. Il lui suffit, ensuite, de lire les logs apache, le referer, c'est à dire la source du "hit". Il ne reste plus au pirate qu'à utiliser ce "referer" et à détourner la session de l'utilisateur connecté à son webmail. Mais heureusement, ce cas d'école n'aura pas lieu. ZATAZ.COM est passé par là avant !

 

Conseiller cet article Réagir RSS ZATAZ Partager cet article sur Wikio Partager cet article sur Scoopeo Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur Fuzz Partager cet article sur del.icio.us Envoyer cet article sur Blogmarks

Derniers contenus

Dans la boule de cristale de Fortinet

Les prédictions des menaces informatiques et les solutions pour les entreprises en 2009.

Carte bancaire piratée: Fakacarda fermé

Un important site dédié à la fraude à la carte bancaire fermé. Il réapparait sous un notre nom quelques heures plus tard.

Une semaine d´avance pour les résultats des votes prud'homales

Élections prud´homales : les résultats du vote électronique disponibles pour le Ministère une semaine avant la fin du scrutin. La faible participation fait courir des risques au secret du vote.

Projet de loi contre le phishing

La sénatrice Jacqueline Panis propose de punir d´un an de prison et de 15.000 euros d´amende le français qui aurait l´idée de se lancer dans le phishing.

Un faux plugin Firefox pour voler les mots de passe

Détection d´une nouvelle méthode de vol des mots de passe sur Internet. Une application de détournement de mot de passe, masquée en plugin pour Firefox, filtre les informations de connexion des utilisateurs.

L´académie de Nancy-Metz ne protége pas ses adresses électroniques

Plusieurs centaines d´adresses électroniques en accès libre sur le site de l´académie de Nancy-Metz.

Pour une vraie rémunération des artistes interprètes

La Commission Culture du Parlement européen à adopté le projet de directive sur l'allongement de la durée de protection des droits d´auteur et droits voisins.

Poker en ligne : piratage et escroquerie depuis 4 ans

Une vaste escroquerie Internet a visé plusieurs casinos en ligne. Une fraude qui aurait rapporté aux pirates plus de 20 millions de dollars.

Sur le même thème : HaideD

C'est la rentrée... des fuites de données

Exclu : L'assureur MGEL n'assure pas la protection de certaines données fournies par des lycéens Français.

URL à pirate pour Flixster Facebook

L'espace FaceBook du portail communautaire Flixster pourrait servir à piéger les internautes. Explication.

La Caisse d'Epargne corrige sa faille

Un probléme informatique affichait des informations sensibles sur un des sites de la banque Caisse d'Epargne.

SOS Racisme sauvé des pirates

Une faille de sécurité découverte sur le serveur Internet de SOS Racisme ouvrait l'accès aux petits secrets de l'association.

Un site de rencontre sauvé des pirates informatiques

Le site de rencontres LovinSide a eu chaud. Un problème de sécurité a pu être corrigé grâce à l'aide d'un cyber-citoyen.

Goolag, la vache folle n'est pas morte

Les hackers du cDc, CULT OF THE DEAD COW, viennent de mettre en ligne GoolagScan, un scanner de site Internet à la sauce Google.

SkyRecon identifie une nouvelle vulnérabilité dans Windows

SkyRecon est à l’origine de la découverte d’une faille du système Active Directory récemment corrigée par Microsoft.

Entrevue a eu chaud aux fesses !

Le site Internet du magazine Entrevue a eu chaud ! Un accès à l'administration du site ouvert aux pirates. L'ensemble des informations pouvaient être modifiées.

Vos réactions ( 0 )

Réagissez à ce contenu

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.

Derniers communiqués de presse

Dans la boule de cristale de Fortinet

Les prédictions des menaces informatiques et les solutions pour les entreprises en 2009.

États généraux : les masques tombent

Le syndicat national des journalistes communique : Les patrons de presse piaffent de plus en plus devant la cheminée où ils ont déposé leurs gros sabots.

Un microcontrôleur pour cartes d´identité sécurisées

Le ST23YR80, un microcontrôleur équipé d'une technologies de cryptographie et d´une capacité de mémoire accrue pour le stockage des données biométriques.

Hama annonce la sortie d’une toute nouvelle gamme d’accessoires : les cadres photo numériques

Hama, leader mondial de l´accessoire spécialisé dans les domaines de la photo, de la vidéo, de l´audio, du multimédia et des télécommunications, présente ses nouveaux cadres photos numériques.

Stars-buzz.com

Decembre: Calendrier Aubade

Il faut vivre avec son temps, et le temps, ça tombe bien, on aime quand celui-ci veut bien s’arrêter un peu. La page du mois décembre du calendrier Aubade va nous y aider. [Voir les autres mois ?]  

Exclusif : Britney Spears de nouveau piratée

Exclusif : Le prochain album de la lolita de la pop, Britney Spears, déjà sur Internet. Circus est attendu dans les boutiques le 2 décembre prochain.Le nouvel album de Britney Spears est très attendu, c’est le moins que l’on puisse dire. Circus, le p’tit nom de cette nouvelle galette musicale, sera commercialisé à partir du [...]

Un pirate informatique annonce la mort de Miley Cyrus

La jeune artiste américaine Miley Cyrus est morte. Un pirate informatique annonce ce faux décés sur la page officielle Youtube de la chanteuse.Mauvais goût pour les uns, blagounette pour les autres. Un pirate informatique a trouvé le moyen d’accéder au compte de connexion à la page Youtube de la jeune artiste américaine Miley Cyrus. Le pirate [...]

Mickael Vendetta, un buzz marketing

L´internaute français le plus ridiculisé de l’Internet, Mickael Vendetta, n´est rien d´autre qu´un buzz marketing pour une webtv française. Pour ceux qui ont râté les aventures pitoresques de Mickael Vendetta, petit rappel. Ce jeune français annonce être le beau gosse que la terre recherche. Le Brad Pitt à la française. La nouvelle coqueluche des médias depuis [...]

Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA