Problème de confidentialité pour le site My pension

Le site Belge Mypension.be souffre d’un problème de confidentialité. Un utilisateur pensant être déconnecté… le reste sans le savoir.

problème de confidentialité – Les cookies sont de petits fichiers permettant de rendre « unique » l’utilisation d’un site Internet. Il permet de garder en mémoire une session après l’utilisation d’un identifiant de connexion ; de garder en mémoire les choix que vous avez pu effectuer sur un forum, une boutique… Le cookie peut aussi être un problème, surtout si ce dernier est mal géré.

C’est ce qui vient d’arriver au site Internet du gouvernement Belge, Mypension.be. Cet espace du service public du royaume ne prend pas en compte l’ordre pourtant donné par le bouton « deconnexion ». Bilan, si une personne surfe sur un ordinateur public ou semi public (bureau…) un second internaute, face au clavier, peut se retrouver connecter aux informations privées et sensibles du propriétaire légitime. « Une solution technique est en préparation et sera déployée aussitôt qu’elle aura été validée. La sécurité est en effet essentielle pour nos utilisateurs. » infique le site des pensions belges au journal Le Vif.

Espérons pour ce site qu’aucune faille de type XSS (Cross-Site Scripting) existe. Une XSS permet de dérober, par le biais d’un lien particulièrement formulé, d’intercepter les données d’un cookie, donc dans ce cas, de connexion d’un belge utilisateur de My Pension. Une attaque qui peut faciliter, pour un malveillant, l’accès aux données d’une cible pensant être déconnectée de son administration.