Plateforme E-commerceQue faut-il retenir de la faille de sécurité sur...

Que faut-il retenir de la faille de sécurité sur les mots de passe du Figaro ?

-

Le Figaro a laissé passé une faille très grave et plusieurs semaines après les premiers Tweets (début juillet), la solution ne semble pas s’être améliorée.

La faille a a priori été corrigée mais le résultat est encore visible sur Google si vous faites une certaine recherche, vous tomberez ainsi sur des adresses contenant l’e-mail et le mot de passe de certaines personnes en clair dans l’URL

Il convient d’en tirer une leçon, un peu technique. En quelques points :

  • Ne jamais faire transiter des mots de passe en méthode GET (dans l’URL), préférer le POST, qui ne sera jamais indexé par un quelconque moteur (même s’il semble que ce ne soit pas le cas pour le problème du Figaro)
  • Ne jamais faire transiter de mots de passe en clair tout court, il est notamment possible d’encoder le mot de passe en MD5 AVANT l’envoi du formulaire (voir mon autre blog)
  • Bien savoir que même si vous faites transiter un mot de passe en POST (non visible dans l’URL), il n’en demeure pas moins en clair d’un point de vue réseau. N’importe qui sur votre réseau peut récupérer votre mot de passe s’il surveille les paquets qui passent sur le réseau. Il est donc important de mettre du SSL (https) en place si vous avez des informations très sensibles sur la partie privée des sites.
  • Bien contrôler les mises en cache puisque le problème est venu de là. De préférence, le cache doit être généré par le serveur à l’initiative de celui-ci et il faut éviter que le cache se construise à partir d’une navigation utilisateur

Exemple de résultat de « snif » sur le réseau, on voit les mots de passe transiter en clair (ici pour un protocole FTP, il en va de même pour les méthodes GET et POST (au même niveau) du protocole HTTP.

Tout cela vient d’une incroyable méthode produite pour le changement des mots de passe pour les commentaires doublée d’une mise en cache de la page après la validation d’un commentaire qui rend cette URL visible dans le code source jusqu’à la recréation du cache suivante.

Edit : L’explication officielle du Figaro

Romain Boyer
Romain Boyer
Romain BOYER est un spécialiste des startups eCommerce depuis 2005, adepte des solutions innovantes, et infatigable veilleur de fond. Pour le contacter : Romain BOYER sur LinkedIn

DONNEZ VOTRE AVIS SUR L'ARTICLE

Please enter your comment!
Entrez votre petit nom

Les derniers articles

Platform.sh, le cloud qui aime les Vendredi

Finis les week-end sans sommeil. Vive les mises en production du vendredi ! Avez vous déjà entendu un développeur dire...

Yolasite, un bon outil pour créer un site ?

Je dois admettre que depuis que j'utilise Shopify avec mon agence Pikka, je suis beaucoup plus ouvert aux outils...

Rakuten lance son service de Fulfillment en Europe

Fort de ses 8500 vendeurs en France, la marque lance son offre de Fulfillment. Explications avec Fabien Versavau, Président...

Pixmania is back !

Vous ne rêvez pas, ce titre est bel est bien 100 % vrai et garanti sans bullshit ou sans...

Domestika lève 110 millions d’euros et arrive en France

Forte de ses 8 millions de membres, la communauté Domestika débarque en France. Explications sur les ambitions d'une startup Espagnole...

Avis clients : un atout pour les sites e-commerce

C'est un fait. Les e-consommateurs prennent en compte les avis clients avant d'acheter un produit ou un service auprès...

Articles les plus lus

Platform.sh, le cloud qui aime les Vendredi

Finis les week-end sans sommeil. Vive les mises en...

Yolasite, un bon outil pour créer un site ?

Je dois admettre que depuis que j'utilise Shopify avec...

Pour continuer la lecture RELATED
Notre recommandation pour vous