Orange échappe au phishing

S'abonner :

Newsletters

Magazines

01men.

[ SÉCURITÉ ]
Orange échappe au phishing
Une erreur de conception sur un des sites de l'opérateur donnait la possibilité à un cybervoleur de créer des faux sites aux couleurs de la filiale de France Télécom. La bourde a été corrigée.

Damien Bancal , 01net., le 13/10/2006 à 18h20

Les méthodes pour détourner et voler des informations confidentielles sont légion et pas obligatoirement sophistiquées. Le site Orange.fr, filiale de France Télécom, aurait pu en faire les frais en début de semaine. Tout a débuté avec la découverte d'une adresse Internet, animation.orange.fr.

Elle permettait d'accéder au portail de la filiale de l'opérateur historique français, et proposait l'accès aux différentes rubriques de la société, dont la page « Comptes clients ». Mais une erreur dans la gestion du code PHP par Orange permettait à un pirate créant une page de son choix (de type animation.orange.fr/toto) de la voir s'afficher sur le Web. Les visiteurs auraient alors eu l'impression de se retrouver sur une page du portail d'Orange, alors qu'ils aboutissaient en réalité sur un site dangereux.

Les « phishers », ces pirates informatiques adeptes du vol de données privées, sont très friands de ce type d'erreur. La pseudo-page Orange aurait permis aux escrocs de se faire envoyer les numéros de téléphone, les mots de passe et, dans certaines conditions et selon les capacités des cybervoleurs, d'autres informations comme l'adresse IP des victimes ou leurs cookies...

Pour trouver des victimes, il aurait suffi au cybervoleur d'envoyer des milliers d'e-mails, contenant l'adresse modifiée, à de potentielles victimes, pour les attirer dans ses filets. Dans le cas du portail d'Orange, il aurait été très difficile aux internautes de voir la supercherie. L'URL contenant la fausse page aurait été, dans tous les cas, l'adresse du site officiel.

Un danger bien réel

Pour échapper à ce genre de piège, il est fortement conseillé de taper soi-même l'adresse du site que l'on souhaite visiter. Il faut éviter, par exemple, de cliquer sur le moindre lien diffusé par un moyen de conversation en temps réel (MSN, ICQ, Skype, etc.). Ces liens peuvent en effet cacher des détournements particulièrement néfastes. « Je peux conseiller aux internautes, explique Thomas Gaget, responsable de la veille technologique à Lexsi, de placer, dans les favoris, les liens originaux. Ainsi ils peuvent faire confiance aux pages qu'ils utilisent. »

Pour ce qui est de son portail, Orange a vite réagi. Comme le précise Martial Gervaise, le responsable du département sécurité et management des risques de l'opérateur, « La faille mise en avant a été rapidement corrigée grâce à la réactivité de nos équipes. Il est dorénavant impossible de reproduire cette attaque. »

Un dossier qui n'aurait pas dû se trouver là

La filiale de France Télécom en a profité pour corriger un autre gros problème : un répertoire nommé Nouveautés, visible à partir de l'adresse animation.orange.fr ; cet espace était accessible avec un simple navigateur. Il contenait un grand nombre de codes sources, ainsi que plusieurs dossiers baptisés Musique, Templates, ou encore Conf. Des dossiers datant de mars à octobre 2006. Dont un qui aurait fait bondir le plus manchot des pirates : un fichier de configuration avec le nom d'une base de données, installée sur une machine - nommée Organi5 -, avec login et mot de passe. « Un oubli dans le processus de contrôle, confie Martial Gervaise. Nous avons relancé une vérification. Notre but étant de sécuriser à 100 % nos services et nos clients ».