Digiposte : la poste garde vos données en toute sécurité… ou pas !

Internet c’est une vraie jungle, un far west avec des terroristes numériques qui violent des femmes de chambre la démocratie ! Mais putain en même temps si vous faisiez un peu attention avant de sortir un service plein de trous ça serait aussi une bonne idée non ?

La poste a sorti hier un service en partenariat avec myid.is (sur lequel je reviendrai à l’occasion) ce qui m’a amené à regarder un peu leur offre précédente : Digiposte. L’idée de ce machin est de « sauvegarder et protéger vos données », on vous encourage à y stocker tous les documents confidentiels dont vous pouvez avoir besoin, … Bref un beau repos de données confidentielles qui intéresseront moultes Hackers mal-intentionnés.

Coup de bol, je suis bien intentionné et autour de moi je ne connais que peu de personnes prêtes à faire confiance à la poste… Pourquoi coup de bol ? Bah je vous laisse avec la capture ci-dessous :

Je n’ai pas le temps d’auditer le site complet… Mais il y a fort à parier que si une erreur aussi basique (qui permet juste, encore une fois, de récupérer la session d’un utilisateur connecté) traine d’autres soient aussi là.

En passant : la méthode d’authentification de ce site est insupportable, basée sur deux mots de passe dont un que l’on doit donner en entier et le second en partie… Ça ne sert à rien si on peut gentiment récupérer l’identifiant de session d’un utilisateur déjà connecté 😉

10 réflexions sur « Digiposte : la poste garde vos données en toute sécurité… ou pas ! »

  1. rodskin

    j’ai l’impression que certains sites essayent d’en mettre plein les yeux de madame Michu sur le fait que si elle rentre 2 mdp, dont un à moitié coupe, tout sera safe
    Et Mme Michu s’en convainc 1 mdp c’est dur a trouver (troll, faut pas mettre un mdp de 4 lettres minustules non plus) alors deux…

    Mais en fait, derrière on se casse pas le cul pour coder proprement un système qui sécurise comme il faudrait…

  2. Aenor

    Le mieux étant le comtpe « test » accessible depuis le net qui, bien que désactivé a cause d’abus de faux mot de passe, ne fait pas très sérieux

  3. Eddyrun

    Ce que j’appelle mettre une porte blindée à sa maison
    et cacher la clef sous le paillasson.

    (et se croire en sureté parce que la porte est blindée)

  4. cydream

    Quelqu’un sait quel est l’espace de stockage ? Impossible de trouver cette info pourtant essentielle sur leur site.

  5. Me

    « (qui permet juste, encore une fois, de récupérer la session d’un utilisateur connecté) »
    -> Non
    Une XSS permet de faire exécuter n’importe quel code par les utilisateurs (de manière plus ou moins simple si elle est persistante ou pas) et donc potentiellement beaucoup plus qu’un simple vol de cookie.
    Il suffit de tester BEeF (http://code.google.com/p/beef/) pour s’en apercevoir via un combo avec metasploit on passe d’une XSS à l’exploitation dun navigateur (ou plugin vulnérable) et bam un shell sur le PC.

    Donc non, les XSS ne sont pas bénins comme vous semblez le sous-entendre.

  6. Paul Auteur de l’article

    @Me : dans la phrase il fallait comprendre « juste » par « youhou, on peut emprunter la session d’un utilisateur sur un truc censé conserver nos données persos… C’est grave les enfants » 😉

    J’ai bien conscience de tout ce qu’il est possible de faire via un XSS mais dans ce cas précis je trouve que le cas est plus important sur les sessions que sur les shells que l’on peut inclure via n’importe quel XSS sur n’importe quel site 😉

  7. Ping : Digiposte : la poste garde vos données en toute sécurité… ou pas ! | UnderNews

  8. Ping : Digiposte : la sécurité du service de nouveau mise en cause | UnderNews

Les commentaires sont fermés.