Cookies d'identification de Next INpact : réinitialisation suite à une fuite, déjà colmatée

Joyeux Noël ! 105
En bref
image dediée
Crédits : Nomadsoul1/iStock
Annonces
L’équipe de Next INpact

Les failles, ce n'est pas que pour les autres. Nous avons récemment été touchés par le référencement de pages contenant le détail de cookies d'identification. Nous avons rapidement colmaté la brèche et réinitialisé la connexion de tous nos membres.

Vendredi dernier, un lecteur (merci à lui), a découvert que Google référençait des pages de notre système de remontée rapide d'erreur, Elmah. Elles contenaient dans quelques cas des cookies d'identification qui pouvaient permettre à un tiers d'usurper l'identité du membre concerné sur le site.

Théoriquement, elles n'auraient pas dû être indexées, notre configuration ne laissant l'accès qu'à un utilisateur et ces pages ne faisant pas l'objet de liens. Néanmoins, à cause d'un bug dans le processus de mise à jour d'Elmah, notre configuration a été écrasée et nos paramètres de sécurité réinitialisés. Google a de son côté réussi à trouver ces pages. 

Suite à cette remontée, nous avons immédiatement débranché l'outil et demandé à Google de supprimer les pages concernées. Nous avons aussi réinitialisé tous les cookies d'identification de nos lecteurs ce lundi, en modifiant les clés de chiffrement utilisées. C'est ce qui explique que vous ayez eu à vous reconnecter ces derniers jours.

Notre analyse montre que la faille date d'au moins deux mois, mais qu'elle ne semble pas avoir été exploitée. Elle a néanmoins été colmatée et ne devrait désormais plus se reproduire.


chargement
Chargement des commentaires...