Previous Story
Perdu votre mot de passe ? Affichez le dans votre navigateur
Posted On 28 Jan 2015
Un site Internet dédié aux cartes grises permet à ses utilisateurs clients d’afficher leur nouveau mot de passe… directement dans le navigateur.
Je croise, depuis 25 ans, des failles de toutes tailles, sérieuses ou juste bonne à faire sourire. La derniére en date aura eu le mérite de me faire sourire justement, puis m’inquiéter sur mes contemporains informaticiens. Le site Internet en question est basé en région parisienne, je vais être « urbain », je ne vais pas le citer, du moins tant que la faille n’est pas corrigée. Alerté par trois fois par courriel et le protocole d’alerte, j’ai enfin reçu une réponse du responsable, via Facebook.
Ce portail commercial propose de faire vos démarches administratives pour récupérer, par exemple, votre carte grise en préfecture. Pour s’y connecter, une inscription classique avec identité, mot de passe et informations sensibles pour la gestion du document administratif. En cas de perte de votre mot de passe d’accès, une solution assez étonnante est proposée par le site pour retrouver votre « précieux ». Le client tête en l’air doit cliquer sur le bouton « Mot de passe oublié ? », classique. Il doit renseigner son adresse mail. Jusqu’ici, rien de mirobolant. Sauf qu’une fois validé, le nouveau password n’arrive pas par courriel, via un lien qui indique permettre de modifier la clé perdue. Non, le mot de passe s’affiche en clair, directement dans le navigateur.
Le nouveau mot de passe, modifié, s’affiche en clair dans le navigateur.
Autant dire qu’un pirate, adepte du social engineering n’a plus qu’à collecter des adresses électroniques de clients, et de changer les mots de passe. Une fois la chose effectuée, il n’a plus qu’à visiter les espaces dédiés à chaque client. Une page d’administration qui est loin d’être négligeable : adresse postale, téléphone, immatriculation de la voiture. Des données courant sur plusieurs années. Les essais que nous avons pu effectuer, avec l’autorisation des clients, montrent des factures courant depuis au moins 2012.
Heureusement, le paiement est sécurisé et pas de doute que maintenant, le responsable de cette boutique ne jettera plus les courriels directement à la poubelle avant de les lire.
Mise à jour : Le site a été corrigé.
Et ça sous-entend aussi que le mot de passe est potentiellement stocké en clair…
Il y a bien pire, je connais des sites pour s’identifier, ça demande le mail, mais ensuite le password quand vous le taper est en clair.
Quoi de pire
Le pire que j’ai pu constater : https://www.zataz.com/perdu-votre-mot-de-passe-affichez-le-dans-votre-navigateur/