Une faille de sécurité a été détectée le 30 août 2022 sur le site Web de LA POSTE, « LAPOSTE.FR ». Une des pages du site redirigeait l’utilisateur vers l’adresse qui se trouvait en paramètre.

Concrètement, lorsqu’un internaute se rendait sur https://www.laposte.fr/switch-site?switchSiteRequestURI=//example.com, l’internaute était redirigé vers l’adresse example.com située au bours de l’adresse.

Cette pratique, appelée « redirection libre », favorise le phishing, car les internautes peuvent croire, à tort, qu’ils visitent une page officielle, appartenant à LAPOSTE.FR, alors qu’en réalité, ils sont redirigés vers un site externe quelconque.

Le témoignage d’un internaute[1] indique que cette faille était activement utilisée pour tenter d’obtenir les coordonnées bancaires des personnes.

En savoir plus sur cette vulnérabilité :

Notes et références

  1. Un internaute a indiqué sur Twitter avoir reçu un faux avis de passage, sur lequel un QR Code pointait vers de telles adresses (source : @flablog).