Gravatar couramment utilisé Blog perso de Paul Da Silva

Digiposte : la poste garde vos données en toute sécurité… ou pas !

Posted on | mai 18, 2011 | 10 Comments

Internet c’est une vraie jungle, un far west avec des terroristes numériques qui violent des femmes de chambre la démocratie ! Mais putain en même temps si vous faisiez un peu attention avant de sortir un service plein de trous ça serait aussi une bonne idée non ?

La poste a sorti hier un service en partenariat avec myid.is (sur lequel je reviendrai à l’occasion) ce qui m’a amené à regarder un peu leur offre précédente : Digiposte. L’idée de ce machin est de « sauvegarder et protéger vos données », on vous encourage à y stocker tous les documents confidentiels dont vous pouvez avoir besoin, … Bref un beau repos de données confidentielles qui intéresseront moultes Hackers mal-intentionnés.

Coup de bol, je suis bien intentionné et autour de moi je ne connais que peu de personnes prêtes à faire confiance à la poste… Pourquoi coup de bol ? Bah je vous laisse avec la capture ci-dessous :

Je n’ai pas le temps d’auditer le site complet… Mais il y a fort à parier que si une erreur aussi basique (qui permet juste, encore une fois, de récupérer la session d’un utilisateur connecté) traine d’autres soient aussi là.

En passant : la méthode d’authentification de ce site est insupportable, basée sur deux mots de passe dont un que l’on doit donner en entier et le second en partie… Ça ne sert à rien si on peut gentiment récupérer l’identifiant de session d’un utilisateur déjà connecté 😉

Commentaires

10 Responses to “Digiposte : la poste garde vos données en toute sécurité… ou pas !”

  1. rodskin
    mai 18th, 2011 @ 10 h 56 min

    j’ai l’impression que certains sites essayent d’en mettre plein les yeux de madame Michu sur le fait que si elle rentre 2 mdp, dont un à moitié coupe, tout sera safe
    Et Mme Michu s’en convainc 1 mdp c’est dur a trouver (troll, faut pas mettre un mdp de 4 lettres minustules non plus) alors deux…

    Mais en fait, derrière on se casse pas le cul pour coder proprement un système qui sécurise comme il faudrait…

  2. Aenor
    mai 18th, 2011 @ 10 h 59 min

    Le mieux étant le comtpe « test » accessible depuis le net qui, bien que désactivé a cause d’abus de faux mot de passe, ne fait pas très sérieux

  3. Panoptinet
    mai 18th, 2011 @ 11 h 10 min

    Audit foudroyant !
    Mais constructif, c’est l’essentiel.

  4. Eddyrun
    mai 18th, 2011 @ 12 h 13 min

    Ce que j’appelle mettre une porte blindée à sa maison
    et cacher la clef sous le paillasson.

    (et se croire en sureté parce que la porte est blindée)

  5. cydream
    mai 18th, 2011 @ 15 h 45 min

    Quelqu’un sait quel est l’espace de stockage ? Impossible de trouver cette info pourtant essentielle sur leur site.

  6. Me
    mai 18th, 2011 @ 21 h 07 min

    « (qui permet juste, encore une fois, de récupérer la session d’un utilisateur connecté) »
    -> Non
    Une XSS permet de faire exécuter n’importe quel code par les utilisateurs (de manière plus ou moins simple si elle est persistante ou pas) et donc potentiellement beaucoup plus qu’un simple vol de cookie.
    Il suffit de tester BEeF (http://code.google.com/p/beef/) pour s’en apercevoir via un combo avec metasploit on passe d’une XSS à l’exploitation dun navigateur (ou plugin vulnérable) et bam un shell sur le PC.

    Donc non, les XSS ne sont pas bénins comme vous semblez le sous-entendre.

  7. Paul
    mai 19th, 2011 @ 10 h 02 min

    @Me : dans la phrase il fallait comprendre « juste » par « youhou, on peut emprunter la session d’un utilisateur sur un truc censé conserver nos données persos… C’est grave les enfants » 😉

    J’ai bien conscience de tout ce qu’il est possible de faire via un XSS mais dans ce cas précis je trouve que le cas est plus important sur les sessions que sur les shells que l’on peut inclure via n’importe quel XSS sur n’importe quel site 😉

  8. Digiposte : la poste garde vos données en toute sécurité… ou pas ! | UnderNews
    mai 19th, 2011 @ 15 h 41 min

    […] Da Silva a mis en avant sur son blog une faille XSS présente dans le formulaire d’identification du site de La Poste dédié au […]

  9. felixaime
    mai 24th, 2011 @ 11 h 43 min

    Ton XSS ne sert à rien car l’utilisateur sera déjà connecté, de plus, tu pourra voir un petit « httponly » dans ton cookie, ne permettant pas de le voler avec une XSS.

    Et hop, un petit lien : https://www.owasp.org/index.php/HttpOnly

  10. Digiposte : la sécurité du service de nouveau mise en cause | UnderNews
    mai 27th, 2011 @ 17 h 08 min

    […] blogueur bien connu Paul Da Silva avait rédigé un article à son sujet qui expliquait qu’il y avait des raisons de douter de la sécurité du site… Suite à […]

Leave a Reply





Edito

Ancien journaliste, ancien entrepreneur, ancien (ir)responsable Pirate, actuel citoyen qui s'intéresse à la politique et à son évolution.

Read moar !.

Retrouvez moi sur :

Suivez moi sur twitter sur facebook sur wikipedia Ajouter ce blog a votre lecteur RSS

Bitcoin

bitcoin logo
1GZnMQ9wXyifxCnDEqg8CSGdngWcKWptHv

Piratons la démocratie

piratons la democratie

One more thing !

0100 0011 0110 1000 0110 0001 0110 1110 0110 0111 0110 0101 0111 0010 0010 0000 0110 1100 0110 0101 0010 0000 0110 1101 0110 1111 0110 1110 0110 0100 0110 0101 0010 0000 0110 0101 0110 1110 0010 0000 0111 0011 0010 0111 0110 0001 0110 1101 0111 0101 0111 0011 0110 0001 0110 1110 0111 0100 0010 0000 0010 1101 0010 0000 0110 1111 0110 1110 0010 0000 0111 0110 0110 0001 0010 0000 0110 0010 0110 1111 0110 1001 0111 0010 0110 0101 0010 0000 0111 0101 0110 1110 0010 0000 0110 0011 0110 1111 0111 0101 0111 0000 0010 0000 0011 1111

Tm9uIGNlbGVsIGzgIGVzdCBqdXN0ZSBwb3VyIHRlIGZhaXJlIHBlcmRyZSA1bW4gOyk=

Relationship Closeness Inventory

Promo code Genesis Mining

Sha 256 cloud mining

Best Bitcoin debit card

Zcash Mining