Un lecteur dont on taira l’identité, a trouvé d’autres bugs sur le site d’Extélia, cette filiale de la Poste qui a obtenu le juteux marché de l’Hadopi. Ce lecteur a simplement tapoté le terme « script » dans le moteur de recherche. Pas de piratage particulier donc. Résultat des courses ?
On tombe sur un fichier consultable qui donne la liste de toutes les mises à jour – dont celles de sécurité – apportées sur le site.
Exemple aujourd’hui : « 22 juillet 2009 Ajout cross-scripting ASP ttes pages de réception ». La société a donc comblé la faille de XSS sur son site qui a été évoquée par Didier Mathus devant l’Assemblée.
On tombe aussi sur un autre fichier qui contient une liste d’adresse email d’abonnés à la newsletter., ce qui est problématique au regard de la sécurisation des données personnelles – une obsession de la CNIL.
Cette nouvelle faille dans le moteur montre une nouvelle fois que la sécurité informatique est complexe, qu’on soit une entreprise spécialisée ou une grand-mère habitant dans le fin fond des Pyrénées (exemple cité à l’Assemblée durant Hadopi 2 cet après-midi)
Extelia sera chargée d'identifier les titulaires de ligne internet hadopisés et leur envoyer un email d'avertissement, voire une lettre recommandée. Une opération sensible qui nécessitera un blindage particulier si l'on en croit l'appel d'offres que nous avions révélé en mars dernier.
MàJ : Martine Billard vient de parler de cette affaire à l'Assemblée.
On tombe sur un fichier consultable qui donne la liste de toutes les mises à jour – dont celles de sécurité – apportées sur le site.
Exemple aujourd’hui : « 22 juillet 2009 Ajout cross-scripting ASP ttes pages de réception ». La société a donc comblé la faille de XSS sur son site qui a été évoquée par Didier Mathus devant l’Assemblée.
On tombe aussi sur un autre fichier qui contient une liste d’adresse email d’abonnés à la newsletter., ce qui est problématique au regard de la sécurisation des données personnelles – une obsession de la CNIL.
Cette nouvelle faille dans le moteur montre une nouvelle fois que la sécurité informatique est complexe, qu’on soit une entreprise spécialisée ou une grand-mère habitant dans le fin fond des Pyrénées (exemple cité à l’Assemblée durant Hadopi 2 cet après-midi)
Extelia sera chargée d'identifier les titulaires de ligne internet hadopisés et leur envoyer un email d'avertissement, voire une lettre recommandée. Une opération sensible qui nécessitera un blindage particulier si l'on en croit l'appel d'offres que nous avions révélé en mars dernier.
MàJ : Martine Billard vient de parler de cette affaire à l'Assemblée.
