Faites ce que je dis pas ce que je fais

Un « support de produit de sécurité » ne veut pas dire « support sécurisé ». En voici une belle illustration merci au « Taureau » français.

support

Alors :

Oui, le mot de passe initialement généré est bien une suite de 4 chiffres.
Oui, le lien pour se connecter au support est bien en http.
Et non, il n’y a pas de redirection automatique en https, ni même de HSTS.

Heureusement, l’authentification se fait quand même via SSL.

connectedSupportUne fois l’authentification jouée, par contre on revient en http.

Du coup, nos téléchargements de microcodes pour des plateformes sécurisés (et Bull en a quelques unes) peuvent parfaitement être compromis par un attaquant. Et tout cela peut se faire à l’insu de l’utilisateur quand bien même un condensat de contrôle serait mis sur la page (en effet la page elle même peut aussi être modifiée).

Le plus triste dans cette histoire ? On hésite  entre 2 possibilités  sur cette histoire d’http en clair:

  • Ils le font bien que le site soit complétement disponible en SSL (faut simplement vérifier que le « s » ne saute pas d’une page à l’autre),
  • Ils le font bien que Atos  soit partenaire de la Hack Academy… et donc parfaitement conscient des enjeux sur le chiffrement des flux réseaux.

Quoi qu’il en soit, ils n’ont pas vraiment d’excuse  !

Publicités

A propos JoMendes

Amateur de mathématiques et d'hexadécimal. Je m'intéresse de près ou de loin suivant mon niveau à tous les sujets de sécurité de l'information.
Cet article a été publié dans Uncategorized. Ajoutez ce permalien à vos favoris.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s