Actualité

 

Noos avait un Os

Publié le 06-07-2007 à 16:27:10 dans le thème HaideD

Pays : France - Auteur : Damien Bancal


Pub : CA Anti-Spam 2007 - Bloquez les messages indésirables!


Note des lecteurs: 3.2/5

Exclu : La rédaction de ZATAZ.COM pouvait accéder à n'importe quel compte mel des clients du FAI Noos.


Voilà une faille comme on n'en voit pas souvent, et heureusement d'ailleurs. La rédaction de ZATAZ.COM était capable d'accéder à n'importe quel compte appartenant aux clients du Fournisseur d'Accès à Internet Noos. Comment, malheureusement très simplement. Il suffisait d'écrire à un membre Noos, en lui fournissant une adresse d'un site pour récupérer une donnée qui ouvrait ensuite accès aux comptes mels de la potentielle victime. Nous tenons, d'ailleurs, à remercier les 99 lecteurs testeurs qui nous ont donné l'autorisation de tester et vérifier cette faille aussi originale que simple d'utilisation. "Une ménagère de plus de 50 ans est capable de l'employer ?" nous demandait une responsable de la communication chez Noos. La réponse lui a été apportée par le webmaster du portail de la société que nous avons pu joindre par téléphone. "Effectivement, nous remontons l'information de suite à notre DGI".

 

 

noos webmail

 

Action pirate en deux temps, trois mouvements

Ce type de faille a de quoi faire froid dans le dos. "En vérifiant les logs de connexion à ZATAZ, explique notre responsable technique, Eric Romang, j'ai vu apparaitre des urls plutôt étrange". Tellement étrange qu'il ouvrait accès aux comptes mels des clients Noos. Nous ne savons pas depuis quand cette faille était accessible. Espérons seulement qu'un pirate n'aura pas eu la mauvaise idée de la découvrir avant nous.

 

 

noos webmail
 

 

Imaginez, voici un cas d'école : Le pirate récolte par le biais d'un robot toutes les adresses mels Noos qu'il trouve sur Internet. Il diffuse, sous forme de spam, un courriel contenant un lien vers un site aspirateur. Il lui suffit, ensuite, de lire les logs apache, le referer, c'est à dire la source du "hit". Il ne reste plus au pirate qu'à utiliser ce "referer" et à détourner la session de l'utilisateur connecté à son webmail. Mais heureusement, ce cas d'école n'aura pas lieu. ZATAZ.COM est passé par là avant !

 

Conseiller cet article Réagir RSS ZATAZ Partager cet article sur Wikio Partager cet article sur Scoopeo Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur Fuzz Partager cet article sur del.icio.us Envoyer cet article sur Blogmarks

Derniers contenus

Le Comité d´Entreprise de GoodYear Amiens fait dans le phishing !

Exclu : Une page dédié à la banque Halifax cachée à l´insu du plein grès du Comité d'Entreprise du fabricant de pneu GoodYear, à Amiens.

DailyMotion HS: Fait trop chaud

Une panne de courant plonge plusieurs centaines de sites Internet Français dans le noir dont Dailymotion, le portail vidéo.

Interpol, nouveau membre du FIRST

La police internationale intègre le cercle du Forum of Incident Response and Security Teams, FIRST.

Fête nationale à la sauce guerre électronique

Un internaute souhaitait lancer une attaque informatique lors de la fête nationale américaine du 4 juillet. Il passera son Independance Day entre quatre murs.

Nouvelles arrestations chez wawa mania

Mercredi matin, les forces de l´ordre française auraient sonné chez de nouveaux administrateurs et uploaders du site Wawa Mania.

Sécurité et mobilité

Périphériques de stockage amovibles : une menace réelle pour la sécurité des informations en entreprises. Une tribune d´Alexei Lesnykh, Responsable du Développement International et de la Stratégie Produit de DeviceLock.

Interoute Internet Barometer

Un widget vous permet de suive en temps réel les attaques informatiques en cours.

Usenet coupable de violation de la propriété intellectuelle

Les ayants droits américains font condamner Usenet. La justice estime que Usenet est directement coupable de violation de la propriété intellectuelle.

Sur le même thème : HaideD

Les blogs de France 2 étaient contrôlables d´un simple clic

Exclusif : Il était possible de contrôler l´ensemble des 15.000 blogs hébergés sur le site de France Télévision.

La Caisse d´Epargne corrige son bug Internet

Exclusif : Un bug permettait de lire le numéro de la carte bancaire des clients de la Caisse d´Epargne. L´Écureuil vient de corriger.

La plus grave fuite de données en France corrigée

Exclusif : Le site chargé des Titres emploi service entreprise ne protégeait pas les informations des cotisants. La rédaction de ZATAZ.COM a eu accès aux données des adhérents: compte en banque, numéros de sécurité sociale, bulletin de paie, ... Plus de 5

Virgin Mobile détendue de la base de données

Exclusif : L´opérateur de téléphone mobile Virgin Mobile laissait fuir sur la toile des contrats clients avec mot de passe et code IMEI.

Faille sur le site NIERLE, les comptes clients étaient en danger

Exclusif : Des vulnérabilités informatiques touchaient le site de vente de CD et DVD Nierle.com. La rédaction de ZATAZ.COM était capable d´accéder aux données sensibles de n´importe quel client.

Près de 35 000 identités d´étudiants Français sur le web

Exclusif : Le portail de l'Université de Tours avait un problème de fuite. Noms, adresses électroniques et postales d´étudiants étaient accessibles d´un simple clic de souris.

Plusieurs milliers de comptes mels piratés

Exclusif : La rédaction de ZATAZ.COM découvre un fichier affolant de plusieurs milliers de comptes de courriers électroniques piratés. Inquiétant.

Fuite de données pour le site Adopte un mec

Exclusif : Le site de rencontres Adopte un mec, 3ème site de rencontre Français, piégé par une application sur Internet. Les photos privées des membres perdaient de leur confidentialité.

Vos réactions ( 0 )

Réagissez à ce contenu

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.

Derniers communiqués de presse

Un site pour sauver des vies

Le groupe de protection sociale Vauban Humanis lance le premier site de localisation de défibrillateurs en France.

La version bêta de BitDefender 2010 désormais disponible en français

BitDefender a le plaisir d´annoncer pour la première fois la disponibilité en langue française de la version bêta de sa solution de sécurité BitDefender Total Security 2010.

Interface de programmation RapiShare disponible

RapidShare donne l´accès à son interface de programmation d´applications. Celle-ci permettra aux développeurs privés et professionnels d´intégrer rapidement et facilement la technologie RapidShare dans leurs outils.

Forfaits vraiment illimités chez Virgin Mobile

Virgin Mobile révolutionne le marché et lance les premiers forfaits vraiment illimités.

Stars-buzz.com

Clara plume: P?tit plaisir à saisir

« J?ai juste envie de parler aux gens », dit Clara Plume. Et elle parle ! C?est d?ailleurs de la parole qu?elle vient : enfance à la fois classique et bohème, encouragée à écrire aussi naturellement qu?elle lit, et à s?exprimer aussi passionnément qu?elle écoute. Elle devient comédienne, monte des pièces, en écrit, les jette, [...]

Speech Debelle, le nouveau clip sur Stars-buzz

Better Days a été produit par Plutonic Lab pendant le séjour de Speech en Australie. Après plusieurs idées de featuring, elle s?est finalement décidée pour Micachu qui a su insuffler sa touche brit-pop unique au titre. Le résultat est dément. Le son est chaleureux, groovy, sensuel. Le beat funky contraste avec la profondeur de la contrebasse [...]

Marie Espinosa, la démarante

Marie Espinosa marquée par Jane Birkin et Françoise Hardy sortira son premier album à la rentrée chez Remark (ULM/Universal Music). Une galette suave baptisée « La démarrante » et qui annonce un son mélodieux. C’est du moins ce que nous a fait saliver de plaisir le premier single de la belle, « Charmante jeune fille [...]

Street Hero

Street Hero ? Saut sur un bus avec caméra embarquée ? Saut freestyle d?un immeuble sur des bus en caméra embarquée. A voir ! Des bus, un immeuble et un jeune sautillant Yamakazi à la sauce anglaise. Etonnant, c’est le buzz vidéo du moment. Soleil, fun et juillet, voilà une période ou l’on peut se lacher un peu [...]

Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA