<(we)Blog\Flyounet.net Insécurité du WebMail (Imp) de Free.fr/>

« Mai 2004 »
lun	mar	mer	jeu	ven	sam	dim
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30
31

Insécurité du WebMail (Imp) de Free.fr

Par Flyounet, le 09/05/2004 à 23:45:30

Vendredi, je ne foutais rien de ma journée (normal, j'avais un mariage dans l'après midi), j'ai donc consulté mes stats (générées par ma petite classe PHP MyCPT) et je suis tombé sur une URL provenant du WebMail (insécurisé) de Free.fr.

J'ai donc décidé de voir ce qui se trouvait à cette URL. Grand bien m'en fasse, si l'on peut dire. Je suis tombé sur le compte email d'une amie (venue sur mon site après clique sur un lien issu d'un mail).
Le référent contient en paramètre un numéro de session, chose plutôt normale. Cependant, étant allé sur le compte moins de 10 minutes après le passage de mon amie, je suppose que la session n'a pas été purgée.
En tout cas, la moindre des sécurité aurait été de me demander de m'authentifier.
Depuis vendredi, je n'ai aucune réponse de la part des gens de Free.fr.
Si quelqu'un a une réponse concernant Free ou Imp, genre Zboubi qui l'utilise tout le temps, je suis preneur.

Edit : Des informations complémentaires peuvent être trouvées sur le billet Insécurité sur le WebMail de Free.fr sur le site DLFP.

Edit : Un lecteur a créé un fil de discussion sur le newsgroup proxad.free.support (accessible aussi via le web).

vu: 3402x - Geek Attitude - Commentaire(s): 21

Commentaire : #1

Par zboubi, le 10/05/2004 à 00:21:36

Ouais j'ai déja vu la meme chose dans mes logs... En fait on peut configurer Horde (et donc IMP, qui est un sous-produit) de plusieurs facons pour le passage d'identification. Free a effectivement choisi de passer l'info dans l'URL parce qu'ils avaient trop de clients qui bloquaient les cookies et qui saturaient ensuite leur service technique au tel :)

Commentaire : #2

Par Flyounet, le 10/05/2004 à 00:33:59

Mais ils ne peuvent pas genre stocker l'IP dans la session et si la session est différente, demander de se ré-identifier ?!

Commentaire : #3

Par Zobby, le 10/05/2004 à 00:38:15

Mouais, enfin c'est pas une faille de sécurité ça. N'importe quel produit basé sur une technologie web utilise les cookies de session serveur pour identifier de manière unique la personne qui s'est authentifiée (et également les personnes non identifiées = anonymous). Apres, utiliser ce cookie DANS l'URL n'est pas forcement la meilleure chose à faire parce que si un lien fait partie du web-mail (dans le cas d'IMP), le Referer contiendra le cookie serveur, et tant qu'il n'aura pas expiré, n'importe qui pourra y accéder.

Après, ce qu'on peut rajouter a IMP c'est de checker en plus l'adresse IP du mec. Genre, associer l'IP avec le Cookie Serveur, et vérifier ça pour chaque accès. Ce qui est lourd, mais un peu plus sécure.

M'enfin le truc, c'est de ne jamais cliquer sur les URL depuis un web-mail. Et même, dans le cas de Free, c'est tellement plus simple de récupérer les mails en POP3 plutôt que de les regarder depuis le webmail...

Enfin tout ça pour défendre un peu Free qui n'y est absolument pour rien dans cette histoire.

Commentaire : #4

Par Flyounet, le 10/05/2004 à 00:56:46

Free n'y est pour rien ?!
Bah, un peu quand même.
Pour le Pop3 plus simple que le WebMail, je regrette, mais tu n'as pas forcément le loisir de pouvoir utiliser du Pop3 partout. Puisque Pop3 est mieux que WebMail, pourquoi ne partes-tu pas de Imap qui est mieux que Pop3 ?

Commentaire : #5

Par tth, le 10/05/2004 à 07:56:02

euh, pour filtrer un peu plus, plutot que l'@ip (changeante avec les proxy) pourquoi ne pas déja vérifier que c'est le même user-agent ? comment ça, j'ai dis une bétise ?

Commentaire : #6

Par Marc, le 10/05/2004 à 08:58:40

Attention :

si vous recevez un mail au format HTML avec une image incorporée, il est fort probable que votre clé de session s'en va toute seule dans la nature comme une grande.

je considere qu'il s'agit d'une faille majeure puisque cela ne demande aucune intervention de l'utilisateur.

Commentaire : #7

Par Flyounet, le 11/05/2004 à 17:01:12

Je remercie la personne qui a fait une demande dans les news de proxad. Le fil de discussion est à l'adresse suivante : http://www.webatou.net
Pour Yaoul ( http://www.webatou.net ), non nous n'étions pas sur le même ordinateur.
Pour Mat ( http://www.webatou.net ), cela signifie-t-il que plus persone ne peut utiliser le webmail de Free ? En effet, s'il faut être déconnecté pour ne rien craindre, on ne peut donc plus utiliser le WebMail.

Commentaire : #8

Par _marc_, le 30/06/2004 à 09:51:29

le probleme Webmail de Free.fr n'est pas encore corrigé ! je refais une demande avec un mail en copie ...

Commentaire : #9

Par Flyounet, le 01/07/2004 à 11:26:17

Une nouvelle intervention concernant ce problème peut se trouver ici : http://linuxfr.org

Commentaire : #10

Par MIMI, le 27/11/2004 à 12:15:46

J'ai un email chez Free reliée à un site pour une petite location saisonnière. Jusqu'à la mi-novembre 2003. J'avais un flot de demandes puis quasiment plus rien. Depuis les demandes se font rares. Se peut-il que mon courrier soit détourné ou est-ce la conjoncture. Merci de vos aides. Je patauge et je ne voudrais pas tomber dans la parano. Merci de vos réponses et de vos solutions. MIMI

Commentaire : #11

Par Flyounet, le 28/11/2004 à 23:28:39

AMHA, le fait que vous receviez moins de mails n'est pas dû au problème de Free. Votre référencement peut très bien y être pour quelque chose.
Un des gros problème du webmail de Free est que quelqu'un peut consulter/envoyer des emails avec votre compte. Bien à partir de ce moment, l'utilisateur malveillant peut aussi en supprimer.

Commentaire : #12

Par mais en plus il veut nous fair, le 29/11/2004 à 09:48:47

Mouais mouais, tu t'auto-poses des questions ??? Tout ça pour faire croire que des gens lisent ton Blog,.... c'est petit.... Allez jusque demander à sa prorpre mère, de se faire passer pour une lectrice.. Bon ok mais elle aurait pu trouver un autre pseudo ;)

Commentaire : #13

Par Flyounet, le 29/11/2004 à 10:14:42

Bah au départ, j'ai penser que c'était ma môman, mais en fait non... Elle n'est pas chez Free...

Commentaire : #14

Par angelmagalie, le 12/09/2005 à 14:45:08

Salut,
j'ai un problème avec ma webmail, après avoir entré mon pseudo et mon mot de passe, je clique sur connexion et là surprise je suis redirigée vers un site internet ... je n'arrive plus du tout à accéder à ma boîte mail. Que dois-je faire ?
Merci pour votre aide

Commentaire : #15

Par Flyounet, le 12/09/2005 à 16:23:11

Changer de fournisseur ? Ou contacter la hotline ?

Commentaire : #16

Par Guillaume, le 17/11/2005 à 12:24:24

Bon, je suis d'accord qu'il s'agit d'un problème *grave* de sécurité. Après, il y a des moyens de lutter contre: utiliser un vrai navigateur internet.
En effet, la faille vient ici du navigateur qui envoie le "referrer": il ne devrait pas.
Cf about:config referer => 0 dans firefox
Links ne renvoie pas de referer par défaut... links, plus sécurisé que firefox et consors?

Vous pouvez également
- Désactiver l'affichage du html dans les prefs
- Ne pas cliquer sur les liens
- Cliquer déconnecter en sortant

Commentaire : #17

Par Flyounet, le 17/11/2005 à 13:51:22

Cerla n'enlève rien au fait que Free ne gère pas correctement son IMP.

Le trou de sécurité n'a pas à être corrigé par le client, mais par le serveur. Un point c'est tout.

Déposez votre commentaires

Les propos tenus dans ces commentaires appartiennent à leur propriétaire.

Nom ou pseudo :

Email (facultatif) :

Site Web ou lien (facultatif) :

Se souvenir de mes informations :

Commentaire :
Le code HTML dans le commentaire sera affiché comme du texte, les adresses internet seront converties automatiquement.

Votre commentaire ne sera validé que si vous répondez à la question suivante :
Combien font douze divisés par quatre ? (Répondez avec des lettres) :

<(we)Blog\Flyounet.net>

Calendrier

Archives

Catégories

Commentaires