Trou de sécurité dans le courriel Web de Network Solutions

Après Hotmail et MonCourrier.com, voici qu'un autre système de courriel Web gratuit laisse ses usagers en pâture à ceux qui voudraient glaner le contenu de leurs boîtes aux lettres. Et ce n'est pas n'importe qui. Il s'agit du système administré par Network Solutions, le monopole de l'enregistrement des noms de domaine.

Selon le magazine spécialisé dans le piratage 2600, il suffit d'insérer un nom de compte d'un utilisateur dans un URL spécial pour accéder au compte sans mot de passe. Les quatre domaines utilisés pour le courriel gratuit par Network Solutions (dotexpress.com, dotcomnow.com, mymailbag.com et nsimail.com) ont tous été atteints. Nous n'avons malheureusement pas pu tester le problème nous même mais nous avons pris la paralysie dont fut victime le service de webmail tout au long de la journée comme un indicateur éloquent de la présence du trou de sécurité.

Cette affaire n'est pas sans rappeler l'énorme faille de sécurité dont fut victime Hotmail au début du mois. Le stratagème pour entrer dans un compte non autorisé est le même: un URL qui fait exécuter un script CGI qui ouvre la boîte aux letres sans exiger de mot de passe. La grande différence entre les deux situations réside dans le fait que le courriel Web de Network Solutions a beaucoup moins d'évangélisés que les 50 millions d'abonnés à Hotmail.

Dans le même ordre d'idées, MonCourrier.com cessera finalement d'exposer les mots de passe de ses usagers dans les fichiers-témoins (cookies) des ordinateurs servant à y accéder. Sur la page d'accueil du service, on annonce une mise à jour du logiciel pour le 25 septembre, soit plus de 11 semaines après que les dirigeants de MonCourrier.com aient été mis au courant. Et on dit après que les choses bougent plus vite dans le monde Internet...

Nous le répétons pour la nième fois: le courriel Web est très pratique mais il est très loin d'être sécuritaire... Parfait pour la correspondance banale mais pour ce qui est des informations importantes, utilisez le courriel d'un fournisseur d'accès ou mieux, donnez-vous la peine de crypter vos messages avec un logiciel de sécurité tel PGP (Pretty Good Privacy).

Dominic Fugère

Si l'Infobourg de l'éducation nous avait mis au parfum du problème chez MonCourrier.com, on a eu vent de la solution chez pssst.qc.ca


Vidéos

Photos