Vendredi soir, le service technique du fournisseur d’accès Noos a mis en ligne sur son site Internet une nouvelle version logicielle de la rubrique ” Mon Compte “. Il s’agit d’une interface d’administration pour permettre à l’internaute de créer ou détruire ses boîtes aux lettres électroniques et ses pages Web personnelles. Pour accéder à cette rubrique, l’internaute doit remplir un formulaire avec un identifiant et un mot de passe afin que Noos puisse vérifier leur identité.Mais vendredi dernier et pendant 24 heures, n’importe qui pouvait pénétrer à l’intérieur des comptes des clients de Noos sans avoir de mot de passe. Il suffisait d’entrer un identifiant au hasard ?” comme ” fred “, ” cristal ” ou autres ?” pour accéder au compte du client Noos possédant cet identifiant. L’internaute malveillant avait alors la possibilité de détruire les boîtes de courrier électronique et les pages Web personnelles du client Noos.L’alerte a été donnée samedi sur la liste de diffusion de Cybercâble (NDLR : ancien nom du service d’accès à Internet Noos), hébergée par le site de communautés eGroups.
” Vers 13 h 53, un premier message est apparu sur la liste de diffusion décrivant le trou de sécurité “, explique Denis Ducamp, expert sécurité chez Hervé Schauer Consultants et abonné à Cybercâble.
” J’ai aussitôt essayé de prévenir Noos en leur téléphonant à 17 heures. Au bout d’une demi-heure, j’ai eu le responsable de la hot line au bout du fil. Vers 21 heures, l’erreur était corrigée. Une fois prévenus du problème, ils ont réagi rapidement “, raconte Denis Ducamp.” La page Web défaillante a été à l’origine développée par une société externe, explique un responsable sécurité de Noos. Mais il nous arrive de la mettre nous-mêmes à jour de temps en temps. Cette fois-ci, c’est un développeur interne qui a modifié le code : il n’a pas vu le bogue passer. “Quelques heures plus tard, les abonnés Noos, membres de la liste de diffusion Cybercâble, remarquaient même un second bogue similaire au premier. Toujours sans mot de passe, un intrus pouvait pénétrer dans les boîtes aux lettres et les pages personnelles d’un abonné en utilisant son identifiant.
” Ce deuxième problème était cependant moins grave, car il n’y avait pas de possiblités de détruire les boîtes aux lettres ou les sites Web “, estime le service technique de Noos.Bien que saluant la vitesse de réaction des équipes techniques de Noos, Bertrand Penn, président de l’association Luccas (Les utilisateurs de Cybercâble associés), demeure très critique sur le service de Noos : ” Ils n’ont pas à mettre en ligne un système non sécurisé. Cette page n’aurait jamais dû apparaître sur le site. “Pour sa part, le service clientèle de Noos n’a pas estimé utile de prévenir ses abonnés par courrier électronique. ” Nous avons alerté la hot line de ces problèmes d’adresses e-mails et de mots de passe. Nous n’avons encore eu aucun retour client. Il ne semble donc pas nécessaire de les prévenir pour l’instant. On risquerait une avalanche de coups de fil pour rien “, estime encore le service technique de Noos.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
