Passer au contenu

Webmails de Club-Internet, Le Monde… : les abonnés ont eu chaud

Une importante faille de sécurité dans les webmails de Netcourrier, Club-Internet, Voonoo… a été révélée par le journal Hackerz Voice. Le problème a été corrigé in extremis, deux jours avant la sortie en kiosque du magazine.

Quarante journalistes sont là, entassés dans une toute petite pièce surchauffée, impatients d’en savoir plus. L’invitation reçue la veille jouait dans le sensationnel : “Les courriers électroniques des clients de onze fournisseurs en France, dont Club-internet.fr et Lemonde.fr, peuvent être interceptés et lus et par n’importe qui. Une révélation du journal Hackerz Voice. “Et, comme pour pimenter l’ambiance déjà électrique, un huissier de justice est également présent. Assis au premier rang, il filme tout sans mot dire.Pourtant, un certain septicisme plane. Tout dans le journal Hackerz Voice laisse penser qu’il s’agit de petits bidouilleurs cherchant la notoriété : le ton, le vocabulaire employé et les astuces dispensées.Mais la démonstration qui suit convainc l’auditoire que la faille est sérieuse, très sérieuse et que Medianet Technologies, la société impliquée, n’a pas été à la hauteur.

1,5 million de comptes piratables

La faille concerne la messagerie électronique consultable sur le Web, développée par Medianet Technologies. Ce système est utilisé, entre autres, par Le Monde, Netcourrier, Club-Internet, Europe2, Voonoo, Canal J, et Pariscope. Soit 1,5 million de comptes en tout.Le héros de la soirée, c’est Fozzy, collaborateur de Hackerz Voice, et abonné à Netcourrier. C’est lui qui a découvert par hasard, le 22 octobre, la faille. En discutant HTML avec un ami, tout simplement.Il a en fait soulevé deux problèmes. D’une part, la possibilité d’introduire des lignes de code dans les e-mails, sans que la personne qui les reçoit ne s’en aperçoive ou que Netcourrier les bloque. Ainsi, en envoyant un e-mail piégé, un pirate peut faire ce qu’il veut sur l’ordinateur de sa victime : prendre le contrôle de la machine, l’infecter avec un virus, détruire des dossiers, etc.D’autre part, le système d’identification souffre de gros défauts. En associant les deux failles, un hacker pouvait accéder à la messagerie de sa victime et y lire tous ses mails.Fozzy, très à l’aise dans sa démonstration, décrit les étapes qui ont suivi sa découverte. Il envoie tout d’abord un e-mail recommandé à Netcourrier.Une semaine se passe sans signe de vie de la part du prestataire. Et la faille est toujours là, béante. Hackerz Voice décide alors de passer à la vitesse supérieure. Il adresse des lettres recommandées signalant le problème aux sociétés clientes de Medianet.En parallèle, Fozzy rédige alors son article pour le journal Hackerz Voice dans lequel il explique tout sur sa découverte.Mais, quelques jours avant la parution, Olivier Spinelli, directeur de la publication, reçoit une lettre inquiétante des avocats de Medianet. Face à la menace, il alerte la presse.Encore sous le choc lors de la conférence, il explique avoir été affolé par la teneur du courrier. Ce dernier dénonce une tentative de dénigrement et la publication d’informations“gravement préjudiciables aux intérêts matériels et moraux de Medianet”. Quant à la faille, son existence est tout simplement niée.

Medianet entre en scène

Coup de théâtre : Philippe Lenoir, le directeur général de Medianet Technologies, intervient à son tour. Il était en fait présent depuis longtemps, mêlé à la foule des journalistes.Il commence par remercier Fozzy et Hackerz Voice. ” Nous sommes très contents que vous nous ayez signalé ce problème. Grâce à vous, une faille importante a été corrigée “, déclare-t-il, ruinant d’une seule phrase la stratégie de ses avocats.Philippe Lenoir fournit alors sa version de l’histoire. Tout d’abord, il affirme que l’e-mail du 22 octobre de Fozzy n’est pas parvenu jusqu’à lui. Son excuse : ” Les e-mails envoyés à Netcourrier.com arrivent dans une hot line de deux cents personnes. “Informé finalement par ses clients, il confie l’affaire à son service juridique. S’ensuit une demande en référé de saisie du journal. D’où la présence de l’huissier au moment de la conférence de presse.Entre-temps, Medianet prend quand même le temps de s’occuper de la faille. Philippe Lenoir admet qu’il n’aura pas fallu plus de dix minutes pour la réparer et vingt-quatre heures pour installer un correctif chez tous ses clients. Le système d’identification a également été revu.Le 5 novembre, tout était réparé. Deux jours à peine avant la parution du journal. Et aujourd’hui, Medianet a décidé d’abandonner son action en référé.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Karine Solovieff