Nous joindre par : 0899274448*

Perdu votre mot de passe ? Affichez le dans votre navigateur

Un site Internet dédié aux cartes grises permet à ses utilisateurs clients d’afficher leur nouveau mot de passe… directement dans le navigateur.

Je croise, depuis 25 ans, des failles de toutes tailles, sérieuses ou juste bonne à faire sourire. La derniére en date aura eu le mérite de me faire sourire justement, puis m’inquiéter sur mes contemporains informaticiens. Le site Internet en question est basé en région parisienne, je vais être « urbain », je ne vais pas le citer, du moins tant que la faille n’est pas corrigée. Alerté par trois fois par courriel et le protocole d’alerte, j’ai enfin reçu une réponse du responsable, via Facebook.

Capture

Ce portail commercial propose de faire vos démarches administratives pour récupérer, par exemple, votre carte grise en préfecture. Pour s’y connecter, une inscription classique avec identité, mot de passe et informations sensibles pour la gestion du document administratif. En cas de perte de votre mot de passe d’accès, une solution assez étonnante est proposée par le site pour retrouver votre « précieux ». Le client tête en l’air doit cliquer sur le bouton « Mot de passe oublié ? », classique. Il doit renseigner son adresse mail. Jusqu’ici, rien de mirobolant. Sauf qu’une fois validé, le nouveau password n’arrive pas par courriel, via un lien qui indique permettre de modifier la clé perdue. Non, le mot de passe s’affiche en clair, directement dans le navigateur.

Le nouveau mot de passe, modifié, s'affiche en clair dans le navigateur.

Le nouveau mot de passe, modifié, s’affiche en clair dans le navigateur.

Autant dire qu’un pirate, adepte du social engineering n’a plus qu’à collecter des adresses électroniques de clients, et de changer les mots de passe. Une fois la chose effectuée, il n’a plus qu’à visiter les espaces dédiés à chaque client. Une page d’administration qui est loin d’être négligeable : adresse postale, téléphone, immatriculation de la voiture. Des données courant sur plusieurs années. Les essais que nous avons pu effectuer, avec l’autorisation des clients, montrent des factures courant depuis au moins 2012.

Heureusement, le paiement est sécurisé et pas de doute que maintenant, le responsable de cette boutique ne jettera plus les courriels directement à la poubelle avant de les lire.

Mise à jour : Le site a été corrigé.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM Journaliste (damienbancal.fr) Travaille sur les sujets cybercriminalité/cybersécurité depuis 1992 ; Officie/a officié pour Europe 2, 01net, Micro Hebdo, La Voix du Nord, Tilt, Entrevue, l’Écho des Savanes, Le Canard Enchaîné, France 3, Nord'way, Programmez ... Premier article en 1989 dans le mensuel "Amstar & CPC" ; Auteurs/coauteurs de 8 livres : "Pirates & hackers sur Internet" (Ed. Desmaret) ; "Hacker, le 5ème pouvoir" (Ed. Maxima) ; Ethical Hacking (Ed. ENI) ; "Tout pour maîtriser votre PC et Internet" (Ed. Que Choisir) ... Intervenant pour la Licence professionnelle Collaborateur pour la Défense et l'Anti-Intrusion des Systèmes Informatiques (CDAISI) IUT de Maubeuge ; Master Cyberdéfense Université de Valenciennes ; Commandant Réserviste Cyberdéfense Gendarmerie Nationale (RCC) ; Reserviste de l'Education Nationale ; Chroniqueur pour WEO TV et France Bleu Nord.

Articles connexes

  1. Guillaume Reply

    Et ça sous-entend aussi que le mot de passe est potentiellement stocké en clair…

  2. zorg Reply

    Il y a bien pire, je connais des sites pour s’identifier, ça demande le mail, mais ensuite le password quand vous le taper est en clair.

    Quoi de pire

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.