Perdu votre mot de passe ? Affichez le dans votre navigateur

Posted On 28 Jan 2015

Tag: carte grise, filoutage, hameçonnage, mauvaise gestion mot de passe

Un site Internet dédié aux cartes grises permet à ses utilisateurs clients d’afficher leur nouveau mot de passe… directement dans le navigateur.

Je croise, depuis 25 ans, des failles de toutes tailles, sérieuses ou juste bonne à faire sourire. La derniére en date aura eu le mérite de me faire sourire justement, puis m’inquiéter sur mes contemporains informaticiens. Le site Internet en question est basé en région parisienne, je vais être « urbain », je ne vais pas le citer, du moins tant que la faille n’est pas corrigée. Alerté par trois fois par courriel et le protocole d’alerte, j’ai enfin reçu une réponse du responsable, via Facebook.

Ce portail commercial propose de faire vos démarches administratives pour récupérer, par exemple, votre carte grise en préfecture. Pour s’y connecter, une inscription classique avec identité, mot de passe et informations sensibles pour la gestion du document administratif. En cas de perte de votre mot de passe d’accès, une solution assez étonnante est proposée par le site pour retrouver votre « précieux ». Le client tête en l’air doit cliquer sur le bouton « Mot de passe oublié ? », classique. Il doit renseigner son adresse mail. Jusqu’ici, rien de mirobolant. Sauf qu’une fois validé, le nouveau password n’arrive pas par courriel, via un lien qui indique permettre de modifier la clé perdue. Non, le mot de passe s’affiche en clair, directement dans le navigateur.

Le nouveau mot de passe, modifié, s’affiche en clair dans le navigateur.

Autant dire qu’un pirate, adepte du social engineering n’a plus qu’à collecter des adresses électroniques de clients, et de changer les mots de passe. Une fois la chose effectuée, il n’a plus qu’à visiter les espaces dédiés à chaque client. Une page d’administration qui est loin d’être négligeable : adresse postale, téléphone, immatriculation de la voiture. Des données courant sur plusieurs années. Les essais que nous avons pu effectuer, avec l’autorisation des clients, montrent des factures courant depuis au moins 2012.

Heureusement, le paiement est sécurisé et pas de doute que maintenant, le responsable de cette boutique ne jettera plus les courriels directement à la poubelle avant de les lire.

Mise à jour : Le site a été corrigé.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

3 Comments

Guillaume 28/01/2015 at 23:12 Reply

Et ça sous-entend aussi que le mot de passe est potentiellement stocké en clair…
zorg 04/03/2015 at 11:10 Reply

Il y a bien pire, je connais des sites pour s’identifier, ça demande le mail, mais ensuite le password quand vous le taper est en clair.

Quoi de pire
- Damien Bancal 04/03/2015 at 13:27 Reply
  
  Le pire que j’ai pu constater : https://www.zataz.com/perdu-votre-mot-de-passe-affichez-le-dans-votre-navigateur/