Edit : Logic Immo m'a envoyé un email pour me signalé qu'ils avaient résolu le problème. Voici le message qu'ils ont mis dans leur communication suite à mon article :
"La faille de sécurité repérée par Korben et ses internautes, que nous remercions au passage, a été prise en charge dès la publication de l'article. Tous nos clients se sont vu attribuer un nouveau mot de passe. Nous en avons profité pour changer la règle d'attribution de ces derniers afin que ce genre de problème ne se reproduise plus à l'avenir. Nous veillerons également à informer nos clients de l'importance de choisir un mot de passe répondant aux bonnes pratiques de sécurité informatique. Aujourd'hui une faible proportion de nos professionnels utilisent l'extranet seul pour leur diffusion d'annonces, les autres étant connectés par des passerelles automatiques. Nous souhaitons tout de même présenter nos excuses aux clients concernés et les rassurons sur le fait que l'incident est désormais résolu."
----
Je ne sais pas si on peut appeler ça de la négligence caractérisée ou une backdoor NSA (lol), mais le site Logic Immo qui propose des annonces immobilières n'est pas vraiment un exemple en matière de sécurité.
En effet, pour mettre en ligne leurs annonces, chaque agence immobilière qui dispose d'un compte Logic Immo doit se connecter avec son ID et son mot de passe.
Sauf que :
- 1/ L'ID des agences est facilement trouvable dans le code des pages
- 2/ Le mot de passe généré par défaut par Logic Immo est identique à l'ID
Donc si vous êtes agent immobilier et que votre identifiant est 12345, votre mot de passe sera lui aussi 12345. Certaines agences ont heureusement le bon réflexe en modifiant ce mot de passe, ce qui n'est pas le cas de toutes malheureusement.
Logic Immo a été averti déjà 2 fois par le gentil internaute à l'origine de la découverte, mais malheureusement, ses emails sont restés sans réponse et aucun correctif n'a été apporté au site pour en améliorer la sécurité.
Je trouve ça quand même fou qu'en 2013, un site d'une telle renommée se contente de mots de passe identiques au login. Surtout que derrière, ça donne accès à des choses comme les messages échangés par les internautes avec l'agent immobilier. Messages qui contiennent surement des infos personnelles (nom, n° de téléphone, email, adresses...etc.).
Bref, si vous travaillez avec Logic Immo, pensez à changer votre mot de passe si celui que vous utilisez est encore celui par défaut.
by via MyTFMRSS
No comments:
Post a Comment