S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Hadopi 2 : le site d'Extelia est encore plus bavard

Coulez avec la Poste

Un lecteur dont on taira l’identité, a trouvé d’autres bugs sur le site d’Extélia, cette filiale de la Poste qui a obtenu le juteux marché de l’Hadopi. Ce lecteur a simplement tapoté le terme « script » dans le moteur de recherche. Pas de piratage particulier donc. Résultat des courses ?

 extelia

On tombe sur un fichier consultable qui donne la liste de toutes les mises à jour – dont celles de sécurité – apportées sur le site.

extelia

Exemple aujourd’hui : « 22 juillet 2009 Ajout cross-scripting ASP ttes pages de réception ». La société a donc comblé la faille de XSS sur son site qui a été évoquée par Didier Mathus devant l’Assemblée.

On tombe aussi sur un autre fichier qui contient une liste d’adresse email d’abonnés à la newsletter., ce qui est problématique au regard de la sécurisation des données personnelles – une obsession de la CNIL.

hadopi la poste

Cette nouvelle faille dans le moteur montre une nouvelle fois que la sécurité informatique est complexe, qu’on soit une entreprise spécialisée ou une grand-mère habitant dans le fin fond des Pyrénées (exemple cité à l’Assemblée durant Hadopi 2 cet après-midi)

Extelia sera chargée d'identifier les titulaires de ligne internet hadopisés et leur envoyer un email d'avertissement, voire une lettre recommandée. Une opération sensible qui nécessitera un blindage particulier si l'on en croit l'appel d'offres que nous avions révélé en mars dernier.

MàJ : Martine Billard vient de parler de cette affaire à l'Assemblée.


Publiée le 22/07/2009 à 18:00

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...
;