nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à 01Business et Technologies : 19 €/mois
Abonnez-vous à la version digitale
Orange échappe au phishing
Une erreur de conception sur un des sites de l'opérateur donnait la possibilité à un cybervoleur de créer des faux sites aux couleurs de la filiale de France Télécom. La bourde a été corrigée.
Les méthodes pour détourner et voler des informations confidentielles sont légion et pas obligatoirement sophistiquées. Le site Orange.fr, filiale de France Télécom, aurait pu en faire les frais en début de semaine. Tout a débuté avec
la découverte d'une adresse Internet, animation.orange.fr.
Elle permettait d'accéder au portail de la filiale de l'opérateur historique français, et proposait l'accès aux différentes rubriques de la société, dont la page ' Comptes clients '. Mais
une erreur dans la gestion du code PHP par Orange permettait à un pirate créant une page de son choix (de type animation.orange.fr/toto) de la voir s'afficher sur le Web. Les visiteurs auraient alors eu l'impression de se retrouver sur une page du
portail d'Orange, alors qu'ils aboutissaient en réalité sur un site dangereux.
Les
' phishers ', ces pirates informatiques adeptes du vol de données privées, sont très friands de ce type d'erreur. La pseudo-page Orange aurait permis
aux escrocs de se faire envoyer les numéros de téléphone, les mots de passe et, dans certaines conditions et selon les capacités des cybervoleurs, d'autres informations comme
l'adresse IP des victimes ou leurs cookies...
Pour trouver des victimes, il aurait suffi au cybervoleur d'envoyer des milliers d'e-mails, contenant l'adresse modifiée, à de potentielles victimes, pour les attirer dans ses filets. Dans le cas du portail d'Orange, il aurait
été très difficile aux internautes de voir la supercherie. L'URL contenant la fausse page aurait été, dans tous les cas, l'adresse du site officiel.
Un danger bien réel
Pour échapper à ce genre de piège, il est fortement conseillé de taper soi-même l'adresse du site que l'on souhaite visiter. Il faut éviter, par exemple, de cliquer sur le moindre lien diffusé par un moyen de conversation en temps réel
(MSN, ICQ, Skype, etc.). Ces liens peuvent en effet cacher des détournements particulièrement néfastes. ' Je peux conseiller aux internautes, explique Thomas Gaget, responsable de la veille technologique à Lexsi,
de placer, dans les favoris, les liens originaux. Ainsi ils peuvent faire confiance aux pages qu'ils utilisent. '
Pour ce qui est de son portail, Orange a vite réagi. Comme le précise Martial Gervaise, le responsable du département sécurité et management des risques de l'opérateur, ' La faille mise en avant a été rapidement
corrigée grâce à la réactivité de nos équipes. Il est dorénavant impossible de reproduire cette attaque. '
Un dossier qui n'aurait pas dû se trouver là
La filiale de France Télécom en a profité pour corriger un autre gros problème : un répertoire nommé Nouveautés, visible à partir de l'adresse animation.orange.fr ; cet espace était accessible avec un simple navigateur. Il contenait un grand nombre de codes sources, ainsi que plusieurs dossiers baptisés Musique, Templates, ou encore Conf. Des dossiers datant de mars à octobre 2006. Dont un qui aurait fait bondir le plus manchot des pirates : un fichier de configuration avec le nom d'une base de données, installée sur une machine ?" nommée Organi5 ?", avec login et mot de passe. ' Un oubli dans le processus de contrôle, confie Martial Gervaise. Nous avons relancé une vérification. Notre but étant de sécuriser à 100 % nos services et nos clients '.
Actu précédente
Actu Suivante
Conséquence de la non refonte des sites wanadoo/Orange
de
Juju-
, posté le 15 octobre 2006 à 10h18
Lors de la fusion wanadoo/orange, il a été confié à une agence - d'ailleurs pas très à l'aise avec le html et les css... - le "recharting" des deux sites. En réalité, seules les couleurs ont changé, et la conception assez vieillote du site en frames est resté. Ce n'est pas très étonnant que ce type de bourde subsiste :/ A en croire qu'Orange ne travaille qu'en production, sans environnement de dev/préprod ?
alerter le modérateur
Favoris = Danger
de
Bigfoot0034
, posté le 15 octobre 2006 à 15h18
Je lis dans l'article qu'on peut faire une confiance aveugle a nos favoris.
Bien qu'il n'y ai pas a ma connaissance de tels virus (le phishing est une activité récente), on pourrais très bien imaginer un code malveillant qui modifierais les favoris de notre navigateur afin de nous envoyer sur des sites contrefaits.
Je recommande donc la plus grande prudence avec tous les sites "sensibles", a savoir tous les sites qui peuvent permettre a un pirate de reccupérer des informations personnelles ou de l'argent (Banque, email, fournisseur d'acces, telephonie mobile etc.). Il n'y a pas de solution miracle, la saisie manuelle est fastidieuse mais c'est la seule solution qui soit sûre a 100%.
Bien qu'il n'y ai pas a ma connaissance de tels virus (le phishing est une activité récente), on pourrais très bien imaginer un code malveillant qui modifierais les favoris de notre navigateur afin de nous envoyer sur des sites contrefaits.
Je recommande donc la plus grande prudence avec tous les sites "sensibles", a savoir tous les sites qui peuvent permettre a un pirate de reccupérer des informations personnelles ou de l'argent (Banque, email, fournisseur d'acces, telephonie mobile etc.). Il n'y a pas de solution miracle, la saisie manuelle est fastidieuse mais c'est la seule solution qui soit sûre a 100%.
alerter le modérateur
Oui mais attention au faute de frappe...
de
benmacfly
, posté le 17 octobre 2006 à 14h47
... et à la présence de tiret ou pas entre les mots du nom de domaine... Bref quelques différences 'invisibles' mais qui peuvent nous emmener vers un mauvais site.
alerter le modérateur
Tout a fait
de
Bigfoot0034
, posté le 17 octobre 2006 à 18h02
Exactement.
En un mot la seule solution est une extrème vigilence...
En un mot la seule solution est une extrème vigilence...
alerter le modérateur
publicité
à lire aussi
SUR LES MÊMES THÈMES 
