Une faille de sécurité dans le suivi des colis de Colissimo.fr
Dis moi où tu es je te dirai où je suis
Le site Colissimo.fr est victime d'une faille de sécurité. Avec lui, le site de la Poste permet à un client enregistré de suivre le parcours non seulement de ses colis mais également des colis de tiers. Un utilisateur malintentionné peut au surplus faire varier les alertes pour se tenir informé des pérégrinations de cette expédition.
Un lecteur(*) nous a averti d'un bug : les variables encadrant ces données ne sont pas assez hermétiques. Du coup, lorsqu’un utilisateur se connecte à son espace personnel de Colissimo.fr pour y enregistrer et suivre ses colis, il peut sans effort ou presque suivre les colis d’autres clients. Comme outil, un simple navigateur suffit. Dans une démarche responsable, nous n’en dirons pas plus pour l’heure.
Informée ce matin, la Poste nous indique qu’une réponse officielle sera apportée via son service de communication. Dès à présent, la direction nous informe cependant que ses équipes sont sur le coup. « Au courant de cette faille, nous sommes sensibilisés aux problématiques soulevées. Nous mettons tout en œuvre pour résoudre ce problème dans les jours à venir. » Pour les utilisateurs, nous assure l'entreprise, le problème détecté est sans impact sur le fonctionnement du site qui permet toujours de suivre les colis enregistrés...
(*) Merci à Guillaume Cornet, auteur de cette découverte
Un lecteur(*) nous a averti d'un bug : les variables encadrant ces données ne sont pas assez hermétiques. Du coup, lorsqu’un utilisateur se connecte à son espace personnel de Colissimo.fr pour y enregistrer et suivre ses colis, il peut sans effort ou presque suivre les colis d’autres clients. Comme outil, un simple navigateur suffit. Dans une démarche responsable, nous n’en dirons pas plus pour l’heure.
Informée ce matin, la Poste nous indique qu’une réponse officielle sera apportée via son service de communication. Dès à présent, la direction nous informe cependant que ses équipes sont sur le coup. « Au courant de cette faille, nous sommes sensibilisés aux problématiques soulevées. Nous mettons tout en œuvre pour résoudre ce problème dans les jours à venir. » Pour les utilisateurs, nous assure l'entreprise, le problème détecté est sans impact sur le fonctionnement du site qui permet toujours de suivre les colis enregistrés...
(*) Merci à Guillaume Cornet, auteur de cette découverte
Marc Rees
le 7 novembre 2011 à 15:55
(23 714
lectures)
Actualités et brèves relatives
- 07 / 11 / 2011 : Faille confirmée sur le site de la Carte Musique Jeune (MàJ)
- 04 / 11 / 2011 : Le malware Duqu entre en France et détecte les faiblesses
- 24 / 10 / 2011 : Hadopi : l’enquête de la CNIL sur TMG s’achève, pas celle sur les ...
- 21 / 10 / 2011 : Flash corrigé pour empêcher l'espionnage par webcam et micro
- 21 / 10 / 2011 : Une faille de Skype permet de retracer les habitudes BitTorrent
- 22 / 09 / 2011 : Adobe corrige six nouvelles failles critiques dans Flash
- 07 / 02 / 2009 : Dessin : La Poste lance le timbre imprimable et payable en ligne
- 07 / 02 / 2008 : L’affranchissement des expéditions devient possible sur eBay
