Une faille de sécurité a été détectée le 30 août 2022 dans le site Web de LA POSTE, LAPOSTE.FR. Une des pages du site redirigeait l’utilisateur vers l’adresse qui se trouvait en paramètre.

Concrètement, lorsqu’un internaute se rendait sur https://www.laposte.fr/switch-site?switchSiteRequestURI=//example.com, il était redirigé vers l’adresse : example.com.

Cette pratique, appelée « redirection libre », favorise le phishing, car les internautes peuvent croire, à tort, qu’ils visitent une page officielle, appartenant à LAPOSTE.FR, alors qu’en réalité, ils sont redirigés vers un site externe quelconque.

Le témoignage d’un internaute[1] indique que cette faille était activement utilisée pour tenter d’obtenir les coordonnées bancaires des personnes.

En savoir plus sur cette vulnérabilité :

Notes et références

  1. Un internaute a indiqué sur Twitter avoir reçu un faux avis de passage, sur lequel un QR Code pointait vers de telles adresses (source : @flablog).