Cadremploi.fr donne accès à tous les profils des gens qui déposent leurs CV sur ce site... Bien vu... |
|||||||||||
|
Mise à jour du 23 décembre 2009 : Dix ans après la publication de cet article, Cadremploi nous demande de préciser que ce bug a été réparé lorsque nous le leur avions signalé, c'est à dire il y a dix ans. Dont acte.
Nous vous avions sans doute déjà pas mal amusés en vous racontant comment il était possible de lire les CV et autres lettres de motivations des gens qui postulent via Internet. Dans le lot, on comptait IBM France et son serveur Lotus Domino (réalisé et vendu par... IBM) mal paramétré. Aujourd'hui, nous allons vous en raconter une bien meilleure... Touyour plous fort! Nous nous demandions jusqu'où le problème de la confidentialité des données (liées à la recherche d'un emploi) pouvaient aller... Et bien il semble que nous ayons trouvé. Quoi que... Si on a trouvé ça, il est probable que nous trouverons pire dans quelques temps. ;) Bon, revenons à nos moutons. Nous surfions donc sur Cadremploi.fr lorsque la page html se mit à nous faire de l'oeil. Surpris, votre Webmaster préféré se dit: "mais que me veut cette page?". Réponse de l'intéressée: "Tu n'as pas vu mes dessous affriolants... J'ai du Lotus Domino..." Terrain connu mais parfois bien configuré. Votre Webmaster affûte son outil de guerre: son browser. Allez, petit navigateur, va chercher les données correspondant aux personnes qui ont déposé leurs CV sur le site Cadremploi.fr! Ben étonnement et hallucination de votre webmaster préféré, le site a tout renvoyé sans rien demander. Vous voulez la liste des login/mots de passe de tous les zozos qui ont fait confiance à Cadremploi.fr? Facile. Demandez au serveur et il vous renvoie tout. A ce stade, votre serviteur se dit "tiens... C'est qui Cadremploi?" Réponse du serveur: "Aujourd'hui, Cadremploi publie les offres de plus de 400 cabinets de recrutement représentant la majorité de leur profession, de différents supports de presse nationaux et régionaux (annonces cadres du Figaro, du Monde, de CB News, du Progrès de Lyon, de l'Union de Reims, de Paris-Normandie,...), des agences de communication spécialisées en ressources humaines et des D.R.H. d'entreprises." Intrigué, votre webmaster se demande quelle qualité de service est proposée: "CADREMPLOI est animé par une équipe de professionnels qui s'attache chaque jour à offrir aux cadres un service irréprochable." Vous nous direz: "vous êtes des balaises, c'est facile pour vous, mais pas à la portée de tout le monde". Faux. Premièrement, nous ne sommes pas des techniciens. Encore moins des informaticiens. Deuxièmement, nous utilisons un bête browser pour faire nos trucs. Troisièmement, nous ne piratons pas les sites (pas d'utilisation d'identifiant et de mot de passe du compte administrateur ou ce genre de choses). Troisièmement, le "truc" utilisé pour accéder aux mots de passe des utilisateurs de Cadremploi.fr est trivial et en plus, il est documenté dans le manuel du bon utilisateur de Lotus Notes... Il y a une loi qui impose aux entreprises de protéger correctement les données personnelles qui leurs sont confiées... Elles commencent quand à respecter ce texte? Kitetoa vous propose au passage la lecture de cette loi: Loi n° 78-17 du 6 janvier 1978 relative à
l'informatique, aux fichiers et aux libertés Implication de ce bidule On pourrait arrêter notre papier ici, mais ce serait un peu court. Quelles sont les implications de cette histoire? Simple: lorsque l'on crée un profil sur Cadremploi, on peut y retourner à n'importe quel instant pour le modifier. Avec son login et son mot de passe. Bilan, si un vilain pirate se présente sur Cadremploi.fr et qu'il réalise le même gag que Kitetoa, il peut ensuite modifier subtilement les comptes des utilisateurs. Exemple: dans le champ "Précisez toutes informations complémentaires que vous souhaitez ajouter à votre C.V." de la personne à qui l'on veut du mal, on remplira: "J'ai quitté mes deux précédents jobs parce que les chefs étaient crypto-rigides et j'espère que vous êtes plus ouverts d'esprit". Effet garanti sur les cabinets de recrutement ou les entreprises qui lisent les CV... Bon, c'est moins "visuel" que d'habitude, mais voici à quoi ressemble la liste des mots de passe des utilisateurs. Histoire que l'on ne vienne pas nous dire que l'on a jamais pu faire un truc comme ça... Il va sans dire que Cadreploi.fr souligne que toutes vos coordonnées resteront confidentielles...
|
Naviguer, lire.... Le Sommaire |
Communiquer... |
Les rubriques! |
Les rubriques! |
Les dossiers |
Malade mental... Qui est Jean-Paul Ney, Le texte de la condamnation |
Malade mental, bis repetita Jean-Paul Ney condamné Condamnation de Jean-Paul Ney |
D'autres choses... |
Rechercher... et sur le Net... |