PUBLIC MARKS from srcmax with tags sécurité & netcampagne

C'est un internaute, Félix F., qui a découvert qu'après l'inscription sur Sarkozy.fr, dans la partie "devenez membre", il suffisait de modifier le contenu de l'adresse Internet, inscrite en toutes lettres dans la barre de navigation, pour découvrir que l'abonné était loin d'être protégé. En modifiant le numéro d'adhérent qui apparaît dans la barre d'adresse, un curieux pouvait ainsi accéder à l'ensemble des données privées des autres membres : identités, adresses, numéros de téléphone avec possibilité de modifier le mot de passe ainsi que la photographie proposée par l'adhérent.

C'est le Canard Enchaîné qui nous la raconte : en septembre 2005, les dirigeants s'aperçoivent qu'en ajoutant "/admin" à la fin de l'adresse du site on tombait directement sur le back-office( la partie réservée aux administrateurs et rédacteurs du site) sans avoir besoin de taper un code. On pouvait donc modifier toutes les pages. La semaine dernière les journalistes du Canard ont pu s'apercevoir que le problèmé était loin d'être réglé. Mieux : ils ont accédé au fichier des adhérents. (soit dit en passant :ne pas protéger ce type de données est passible de cinq ans de cabane)