5/12/2000 • 15h36
Le bogue de Noos
Pendant plus de 10 heures vendredi 1er décembre, l’accès aux boîtes aux lettres et aux pages persos des abonnés de Noos n’était plus sécurisé.
Selon un article paru sur 01net, n’importe qui pouvait détruire les boîtes aux lettres électroniques et les pages persos des abonnés de Noos pendant plusieurs heures vendredi 1er décembre. Il suffisait de saisir un identifiant au hasard (comme "momo" ou "tintin" ) pour accéder au compte client correspondant, sans mot de passe. Ouverte peu avant 14 heures, cette brèche dans le système protégeant le compte des abonnés NoosNet n’a été refermée que le soir, à 21 heures. Pour redémarrer de plus belle quelques heures plus tard. À cette différence près : les internautes pouvaient accéder au compte des abonnés NoosNet, mais sans pouvoir détruire leurs données. À l’origine de ce bogue : une malencontreuse modification effectuée par un développeur de chez Noos lors de la mise en place d’une nouvelle interface d’administration, destinée à la rubrique "mon compte". Chez Noos, personne n’a jugé utile d’informer les abonnés. Interrogés quatre jours après le bogue par l’un des journalistes de Tranfert se faisant passer pour un client, ni les employés du service NoosNet, ni ceux du service commercial, ni ceux du service client n’ont semblé en mesure de nous donner la moindre information sur le sujet. Une employée du service client, indiquait même : "Nous n’avons pas eu vent de cette histoire et d’ailleurs, notre service étant totalement sécurisé, je vois pas comment une telle erreur pourrait se produire." Ben voyons. Et on noos prendrait pas pour des c... ?
|