Comment nous avons perdu 230 euros chez CJ Affiliate (Conversant)

vers Virus Info


[accueil]  [menu]  [suivez-nous !]  [chercher]


Paru dans Le Virus Informatique n°15
2000-04-01 00:00

« Je peux lire vos e-mails ! »



Plus d'un million de victimes potentielles


Quand un pirate nous dit qu'il est en mesure de lire notre courrier électronique hébergé chez le premier fournisseur Internet de France, on rigole. Quand il nous le prouve, devant nos yeux, en quelques clics de souris sur une machine "saine" et sans le moindre utilitaire, cela tourne au cauchemar...

Vous venez de lire notre courrier sans connaître notre mot de passe, comment avez-vous fait ?
Il y a une faille dans la conception de la page d'accueil (www.wanadoo.fr) du site Web de Wanadoo, faille qui permet, entre autres, de lire en ligne les mails des abonnés. Le fournisseur d'accès reconnaît ses utilisateurs à partir de l'adresse IP qu'il leur attribue, après vérification de leur password de connexion. Or, depuis l'IP spoofing, on sait que cette méthode ne peut être considérée comme sûre. Il est, en effet, possible de falsifier une adresse en lançant une attaque "par rebond" (ftp, proxy, etc.). Et comme le serveur ne demande plus aucun mot de passe par la suite, il est possible de lire en ligne le courrier d'une autre personne, sans qu'elle s'en aperçoive !
Je me refuse à parler de détails trop techniques tant que la faille n'aura pas été corrigée. Ce sera intéressant du point de vue théorique de comprendre les problèmes posés par certaines techniques d'authentification et nous pourrons y revenir plus tard, si vous le souhaitez. Dans l'immédiat, dévoiler la nature de la brèche et donner la méthode exacte pour l'exploiter causerait un préjudice trop grand aux abonnés de Wanadoo. Ce n'est pas l'objet de mon intervention.

Pourquoi contacter la presse et pas directement l'opérateur ?
Contacter une entreprise pour lui faire comprendre qu'elle a commis une telle erreur n'est peut-être pas une très bonne idée si on regarde de près l'affaire Humpich (Ndlr : L'ingénieur qui a alerté le GIE Cartes Bancaires que le système n'était plus sûr et qui a été condamné à 10 mois de prison avec sursis pour cela.)
La technologie se développe de plus en plus, l'homme est de plus en plus dépendant. Si cette technologie n'est pas sûre, cela risque de poser de très sérieux problèmes. Imaginez qu'on puisse pirater votre frigo connecté à l'internet, votre téléphone portable, se faire passer pour vous auprès de vos proches, de vos relations de travail grâce à votre ordinateur dont quelqu'un a le contrôle... Ce monde-là, personne n'en veut ! Il faut que les entreprises prennent conscience que les objectifs commerciaux doivent passer au travers d'un filtre, celui de la sécurité. Cela ne sert à rien de mettre un service en ligne, s'il n'est pas complètement protégé. Car, un jour ou l'autre, une personne finira par trouver des failles. Et, ce jour-là, le service en question nuira à ses utilisateurs et donc, directement, à la société qui l'a créé. Un contact avec la presse m'a semblé être une occasion de transmettre le message au grand public et aux entreprises.

Pourquoi ne pas avoir gardé cette information pour vous, tout simplement ?
Outre contacter la presse, j'avais trois autres solutions : 1) Alerter l'opérateur, 2) Tout révéler de façon anonyme sur l'internet, 3) Garder tout cela pour moi.
Il ne m'a pas semblé que garder cette information pour moi (en espérant très fort que quelqu'un chez France Télécom> découvre un jour que le service n'est pas sécurisé) soit une démarche très active et très intelligente. Dans mon esprit, il faut que la faille soit corrigée.
Révéler cela dans les newsgroups n'aurait pas été très honnête de ma part : tout le monde sait pertinemment que la faille aurait été largement exploitée avant d'être corrigée.
Enfin, comme je vous l'ai dit précédemment, aller voir l'opérateur aurait été un risque qu'il ne m'a pas semblé nécessaire de prendre. Je n'ai encore jamais entendu une société avouer qu'une faille avait été comblée et qu'elle avait remercié la personne qui a mis le doigt dessus... Ce jour-là, sans doute, les systèmes d'information seront mieux sécurisés. Car vouloir un service sécurisé, c'est aussi être attentif aux personnes qui ont ce genre de suggestions à faire. Chercher à réprimer en cette matière ne me semble pas faire avancer les choses.

Comment avez-vous découvert cette faille ?
Totalement par hasard. J'ai des comptes chez ce provider. Un jour, je me suis connecté et j'ai vu mon nom en haut à droite de la page d'accueil. Je me suis immédiatement demandé comment ils m'avaient "reconnu". J'ai compris que Wanadoo utilisait l'adresse IP pour m'authentifier et me donner accès à des services de consultation en ligne de mes mails. Cette méthode étant connue pour ne pas être sûre, j'ai compris que je me trouvais face à une faille de sécurité.

Pensez-vous qu'elle a été exploitée par un autre ?
On peut difficilement répondre à cette question. Je n'en ai pas entendu parler dans le milieu de la sécurité et je ne pense pas qu'elle ait pu être exploitée à grande échelle. Cependant, rien ne peut prouver de façon certaine qu'une personne ne soit pas arrivée aux mêmes conclusions que moi et ait décidé d'exploiter la vulnérabilité plutôt que de chercher à y mettre un terme.

Est-il possible de corriger le problème ?
Oui, sans aucun doute ! Wanadoo pourrait supprimer entièrement le service de consultation en ligne mais cela n'est pas nécessaire. Il suffit d'ajouter un mot de passe dans l'accès au courrier plutôt que de laisser un accès libre. Techniquement, c'est très simple à réaliser.

Informée de la brèche le 22 mars, Wanadoo n'a toujours pas donné de suite à notre appel.


Vous voulez soutenir une information indépendante ? Rejoignez notre Club privé !


[homepage]  [RSS]  [archives]
[contact & legal & cookies]  [since 1997]