LA POSTE – Une page du site Web permettait de rediriger librement les utilisateurs
Une faille de sécurité a été détectée le 30 août 2022 sur le site Web de LA POSTE, « LAPOSTE.FR ». Une des pages du site redirigeait l’utilisateur vers l’adresse qui se trouvait en paramètre.
Concrètement, lorsqu’un internaute se rendait sur https://www.laposte.fr/switch-site?switchSiteRequestURI=//example.com
, l’internaute était redirigé vers l’adresse example.com
située au bours de l’adresse.
Cette pratique, appelée « redirection libre », favorise le phishing, car les internautes peuvent croire, à tort, qu’ils visitent une page officielle, appartenant à LAPOSTE.FR, alors qu’en réalité, ils sont redirigés vers un site externe quelconque.
Le témoignage d’un internaute[1] indique que cette faille était activement utilisée pour tenter d’obtenir les coordonnées bancaires des personnes.
En savoir plus sur cette vulnérabilité :