La Poste corrige plusieurs failles sérieuses
Le site Internet de La Poste aura vécu quelques jours chargés, fin juin. Deux failles, dont une de taille, ont été corrigées grâce au protocole d’alerte de zataz.com.
La première vulnérabilité, un XSS via la page Outil Suivi. Une vulnérabilité de type « cross site scripting reflective » qui permettait, par exemple, d’afficher dans le site officiel de la Poste un faux espace. Une page pirate de paiement en ligne, par exemple. Heureusement, du moins d’après les informations de la rédaction de zataz.com, aucun pirate n’avait eu vent de cette possibilité malveillante découverte par Mr Mikasa.
Kalif à la place du Kalif
L’autre faille était largement plus grave et dangereuse pour l’entreprise. Comme nous vous l’expliquions dans notre article sur l’excellente Nuit du Hack 2014, nous avons pu rencontrer de nombreuses personnes qui souhaitaient nous parler lors de la grande messe dédiée à la sécurité informatique et au hacking. Autant dire que j’ai eu ma dose de coca pour l’année tant on m’a offert un coup à boire (merci pour vos verres, Ndr).
L’une de ces rencontres, un « visiteur » venu d’un pays d’Afrique du Nord. Nous l’appellerons X, d’abord parce que j’avoue avoir oublié son pseudo, et ensuite pour éviter de lui coller un sobriquet idiot. Dans la nuit, j’étais déjà à mon 10ème litre de boisson gazeuse, X va me montrer sur son smartphone comment il avait la main sur le site de LaPoste.net. Accès aux fichiers de configuration, aux espaces MySQL… Notre source a souhaité passer par les soins du protocole d’alerte de zataz.com afin d’alerter La Poste et permettre une correction rapide et efficace. Ce qui aura été le cas.
Les vulnérabilités ont été corrigées dans la nouvelle version du site www.laposte.fr, mise en service le 30 juin dernier.