Notre confrère Zataz a recemment découvert qu'il était possible d'intercepter n'importe quel identifiant de connexion des clients abonnés à Free.fr
Il s'agissait en réalité d'une sorte de vulnérabilité de type XSS : à partir de l'url officiel d'une page de Free, il nous était possible, en codant une petite "bidouille" PHP, d'intercepter login et mot de passe via le site officiel, sans que l'internaute ne puisse s'en rendre compte, rapporte le site de sécurité informatique.
Le client Free ne pouvait se rendre compte du transfert de ses informations personnelles : il se retrouvait, en effet, lorsqu'il cliquait sur le bouton "ok" du formulaire, dans son espace client. Seulement, au même moment, le pirate pouvait recevoir le précieux sésame soit via un fichier texte envoyé sur un serveur tiers, soit, directement par mel.
Notons tout de même la remarquable réactivité du support Free, en une demie-heure, le service presse a contacté Zataz, le problème a éété résolu peu après.
