Orange corrige un sérieux problème dans l’une de ses boutiques en ligne

Protocole d’alerte – Plusieurs problèmes découverts dans le site orangeboutique.fr. L’un d’eux aurait pu permettre d’injecter un document piégé directement dans une boutique Orange.

Imaginez, vous visitiez le site orangeboutique.fr [espace fermé depuis le 19/07/16] et téléchargiez ce que vous pensiez être un document officiel de l’opérateur téléphonique Français. Un PDF vous proposant les dernières réductions et promotions. Sauf que dans ce fichier Adobe, un code malveillant orchestrant le téléchargement d’un logiciel espion dans votre ordinateur.

De la science-fiction ? Malheureusement, non ! Le protocole d’alerte de ZATAZ a permis la correction de plusieurs problèmes dans le site orangeboutique.fr. Parmi les « bugs » que je peux vous révéler aujourd’hui, la possibilité d’injecter dans l’espace 2.0 n’importe quel fichier à partir d’une page dédiée non verrouillée.

L’équipe sécurité d’Orange a très rapidement pris en main et corrigé le problème dès la réception du Protocole d’Alerte. D’autres failles et fuites concernées ce même site, avec par exemple l’accès à des documents internes. Des fichiers non sensibles [pas de données clients], sauf dans les mains de la concurrence pouvant ainsi découvrir les actions commerciales à venir dans les agences physiques Orange (Tarifs, produits, cibles clientèles…). Des accès sans aucune restriction, ni mot de passe. Le site a été fermé le 19 juillet 2016.