[accueil]
Libertysurf : tous les passwords accessibles !
Après Wanadoo, c'est au tour de Lybertysurf, deuxième fournisseur d'accès internet français, d'être victime d'une immense faille de sécurité trouvée par l'un de nos lecteurs. En effet, dans un navigateur, il suffit de taper une adresse du type http://abo.libertysurf.fr/sr/[CENSURE]=machinchose2000@libertysurf.fr pour avoir le mot de passe de n'importe quel abonné (ici, machinchose2000, purement imaginaire), en connaissant simplement son adresse e-mail ! Cette URL apparaît à l'inscription et écrit sur le disque dur du visiteur un fichier LibertySurf.ins contenant l'ensemble des informations personnelles. Voulant retrouver son password après un crash disque, notre lecteur y est retourné tout naturellement. Stupeur : son fichier confidentiel lui est toujours accessible alors qu'il ne peut être sécurisé par un cookie stocké sur son PC personnel depuis l'inscription, puisque son disque dur a été formaté entre temps. L'internaute en déduit qu'il peut accéder aux données de n'importe quel abonné. Ce que nous vérifierons sur nos propres comptes.
Il aura fallut près d'une semaine pour que notre message au webmestre du provider soit transmis un responsable de la sécurité. Celui-ci constatera le problème et, désolé, promettra de s'attaquer immédiatement à sa correction. C'est mieux que certains, suivez mon regard !
Vous voulez soutenir une information indépendante ? Rejoignez notre Club privé !
Vous pouvez recopier librement le contenu de cette page ailleurs (en indiquant le lien de cette page), mais sans le modifier ni en faire un usage commercial. Ce contenu est sous licence Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
[contact & legal & cookies] [since 1997]