Le Figaro a laissé passé une faille très grave et plusieurs semaines après les premiers Tweets (début juillet), la solution ne semble pas s’être améliorée.
La faille a a priori été corrigée mais le résultat est encore visible sur Google si vous faites une certaine recherche, vous tomberez ainsi sur des adresses contenant l’e-mail et le mot de passe de certaines personnes en clair dans l’URL
Il convient d’en tirer une leçon, un peu technique. En quelques points :
- Ne jamais faire transiter des mots de passe en méthode GET (dans l’URL), préférer le POST, qui ne sera jamais indexé par un quelconque moteur (même s’il semble que ce ne soit pas le cas pour le problème du Figaro)
- Ne jamais faire transiter de mots de passe en clair tout court, il est notamment possible d’encoder le mot de passe en MD5 AVANT l’envoi du formulaire (voir mon autre blog)
- Bien savoir que même si vous faites transiter un mot de passe en POST (non visible dans l’URL), il n’en demeure pas moins en clair d’un point de vue réseau. N’importe qui sur votre réseau peut récupérer votre mot de passe s’il surveille les paquets qui passent sur le réseau. Il est donc important de mettre du SSL (https) en place si vous avez des informations très sensibles sur la partie privée des sites.
- Bien contrôler les mises en cache puisque le problème est venu de là. De préférence, le cache doit être généré par le serveur à l’initiative de celui-ci et il faut éviter que le cache se construise à partir d’une navigation utilisateur
Exemple de résultat de « snif » sur le réseau, on voit les mots de passe transiter en clair (ici pour un protocole FTP, il en va de même pour les méthodes GET et POST (au même niveau) du protocole HTTP.
Tout cela vient d’une incroyable méthode produite pour le changement des mots de passe pour les commentaires doublée d’une mise en cache de la page après la validation d’un commentaire qui rend cette URL visible dans le code source jusqu’à la recréation du cache suivante.
Edit : L’explication officielle du Figaro
Laisser un commentaire