Un chercheur Chinois met la main sur une potentialité de fuite de données pour Windows 8.1 et Internet Explorer 11. Il se nomme Exp Sky, un chercheur en sécurité informatique Chinois. Ce bidouilleur de talent vient de mettre la main sur un problème informatique visant Windows 8.1 « plus Internet Explorer 11 » rajoute le jeune homme sur son blog, ce 28 février. Un exploit qu’il décortique (En Chinois). La première version du code de son exploit ne contient que la fonction de « fuite d’information », et cela en seulement quelques lignes de javascript. Simple mais particulièrement efficace.
Le site Internet CreditCards.com corrige une vulnérabilité sur son site web qui a pu faire des dégâts dans les mains de pirates. CreditCards.com est un site web américain dédié aux transactions par cartes bancaires. Un portail bancaire fier de sa sécurité, de sa connexion SSL… Sauf que les dirigeants de ce site web ont omis d’alerter leurs membres et clients de la correction d’une vulnérabilité qui a très bien pu être exploitée par des pirates informatiques.
La faille, un XSS (encore!) permettait d’afficher, par exemple, une fausse page de connexion au service CardMatch. Bilan, un internaute client a très bien pu cliquer sur un lien particulièrement formulé par un pirate. Lien qui dirigeait bien sur le site officiel CreditCards mais qui a très bien pu déclencher l’affichage d’une page piégée. Le client, en toute transparence, et rassuré par le beau HTTPS, a très bien pu rentrer ses identifiants de connexion et continuer à vaquer à ses occupations. Pendant ce temps, le pirate interceptait les données pour ensuite les réutiliser. Nous n’avons pas de preuve d’une exploitation de cette faille.
Bref, CreditCards a corrigé la faille sans remercier et encore moins prévenir ses clients, histoire que ces derniers s’assurent de ne pas être tombés dans un phishing efficace et imparable sans un minimum de connaissance technique. (The Daco 92/Cyber Hackers)
Le site Internet de LaPoste.net propose un service webmail efficace. Sauf que les identifiants de connexions ne sont pas sécurisés. Plusieurs lecteurs de Data Security Breach nous ont annoncé être inquiets du système d’identification du site LaPoste.net. Les connexions « chiffrées » au webmail Laposte.net n’existent pas. Sur la page d’accueil du site http://www.laposte.net, il est possible de se connecter à « Ma boîte aux lettres » LaPoste.net. « Je suis extrêmement surpris que l’on puisse saisir son identifiant et son mot de passe alors que la connexion n’est pas chiffrée et sécurisée en https avec un certificat SSL » indique à la rédaction Vincent. Effectivement, cela signifie tout simplement que les identifiants et les mots de passe transitent en clair sur le réseau Internet entre l’ordinateur de l’utilisateur et les serveurs de La Poste. Une personne mal intentionnée pourrait aisément, et avec quelques outils spécialisés, comme en sniffant les trames Ethernet avec Wireshark, récupérer les informations privées au moment de la connexion. Autant dire qu’un utilisateur passant par une connexion wifi gratuite dans un aéroport, un restaurant (MacDo…), un café (Starbucks…) met tout simplement son webmail en danger. Plusieurs lecteurs ont envoyé un courriel à La Poste. Des services tels que Google ou encore Outlook (live.com) proposent des connexions en https et un certificat SSL.
Alors sécurisé ou pas ?
Ce qui compte est la sécurisation https de l’url qui se trouve dans le formulaire de login. Si celle ci est en https, aucun souci, même si la page qui héberge ce formulaire n’est pas https. Donc, pas d’inquiétude le login de la poste est sécurisé, et les identifiants ne sont pas transmis en clair. « Une fois de plus le petit logo vert partout n’est pas un garant de la sécurité d’un site » rajoute Seb, un lecteur. Il faut admettre, cependant, qu’un peu plus de visibilité ne nuirait pas à la bonne compréhension, et à rassurer les utilisateurs. La dynamique équipe sécurité de La Poste nous a répondu à ce sujet. Il faut tout d’abord différencier le portail laposte.net sur lequel est disponible le webmail et l’authentification au webmail qui ne fonctionnent pas avec les mêmes restrictions d’accès et de sécurité. « Pour accéder à leurs mails XXXX@laposte.net, nos clients doivent impérativement passer par une phase d’authentification (échange des login/mot de passe) qui est biensur cryptée en Https » confirme à Data Security Breach l’équipe sécurité de La Poste. Voilà qui devrait définitivement rassurer les utilisateurs.
Petites entreprises, grandes menaces : restez informés, restez protégés
