[GANDI] FAILLE SECURITE : Vol de Domaine !

[Michael]

Bonjour,

J'ai trouvé il y a trois jours une faille très critique permettant de
voler n'importe quel domaine géré par Gandi.net

C'est une faille du niveau d'un newbie !!!

La je contacte le support pour leur signaler cette faille et la réponse
du support (trois jours plus tard) est : cette faille n'existe pas...

Je suis vraiment très déçu et désemparé face à la qualité technique de
Gandi depuis leur rachat.

Je vais penser à changer de registrar...

Michael

[Manuel Guesdon]

Bonsoir,

On Fri, 29 Dec 2006 20:15:42 +0100, Michael wrote:
> J'ai trouvé il y a trois jours une faille très critique permettant de
> voler n'importe quel domaine géré par Gandi.net
>
> C'est une faille du niveau d'un newbie !!!
>
> La je contacte le support pour leur signaler cette faille et la réponse
> du support (trois jours plus tard) est : cette faille n'existe pas...
>
> Je suis vraiment très déçu et désemparé face à la qualité technique de
> Gandi depuis leur rachat.

So what ? Soit elle existe et en l'absence de réaction/correction passé
un certains delais vous pouvez diffuser les informations permettant à
chacun de la constater soit elle n'existe pas et le mieux est sans doute
de ne pas vous enferrer...

Bref, quel est l'interet de ce message ?

Manuel

[Michael]

Bonjour !

Je ne pense pas que le support ait mal compris, je pense juste qu'ils ne
m'ont pas pris au sérieux...

Il faut savoir que je peux, si je le désire récuperer le domaine
gandi.net en changeant tout simplement l'adresse mail de NG270-GANDI !

Le numéro de ticket concernant cette faille est le 393049.

Bon courage !

Michael

Stephane Enten a écrit :
> Bonjour,
>
> In fr.reseaux.internet.hebergement, you wrote:
>> Bonjour,
>>
>>
>> J'ai trouv? il y a trois jours une faille tr?s critique permettant de
>> voler n'importe quel domaine g?r? par Gandi.net

>>
>> C'est une faille du niveau d'un newbie !!!
>>

>> La je contacte le support pour leur signaler cette faille et la r?ponse

>> du support (trois jours plus tard) est : cette faille n'existe pas...
>>

>> Je suis vraiment tr?s d??u et d?sempar? face ? la qualit? technique de
>> Gandi depuis leur rachat.
>>
>> Je vais penser ? changer de registrar...
>
> Peut-etre que notre support a mal compris votre question,
> car je n'ai pas le souvenir qu'ils nous aient parl? d'un mail
> ? propos d'une faille de s?curit? ...
>
> Est-ce que je peux avoir le num?ro de ticket, histoire de
> v?rifier ?a ?
>
> St?phane
>
>
>

[Soraya]

Michael wrote:
> Bonjour !

Bonjour,

[...]

>
> Il faut savoir que je peux, si je le désire récuperer le domaine
> gandi.net en changeant tout simplement l'adresse mail de NG270-GANDI !

Vous ne pouvez changer l'adresse email en ligne que si vous possédez le
mot de passe.
Si vous ne possédez pas le mot de passe, et que votre email est invalide
(ou incorrect) Gandi demande l'envoie d'un formulaire + justificatifs
d'identité.

>
> Le numéro de ticket concernant cette faille est le 393049.

Je regarde...

>
>
> Bon courage !

Merci

Soraya.

[Soraya]

Michael wrote:
> Bonjour !

Bonjour,

[...]
>

> Il faut savoir que je peux, si je le désire récuperer le domaine
> gandi.net en changeant tout simplement l'adresse mail de NG270-GANDI !

Vous ne pouvez changer l'adresse email en ligne que si vous possédez le

mot de passe.
Si vous ne possédez pas le mot de passe, et que votre email est invalide
(ou incorrect) Gandi demande l'envoie d'un formulaire + justificatifs
d'identité.

>

> Le numéro de ticket concernant cette faille est le 393049.

Je regarde...

>
>
> Bon courage !

Merci

Soraya.

>
>
>
>

[Soraya]

Michael wrote:
> Bonjour !

Bonjour,

[...]
>

> Il faut savoir que je peux, si je le désire récuperer le domaine
> gandi.net en changeant tout simplement l'adresse mail de NG270-GANDI !

Vous ne pouvez changer l'adresse email en ligne que si vous possédez le

mot de passe.
Si vous ne possédez pas le mot de passe, et que votre email est invalide
(ou incorrect) Gandi demande l'envoie d'un formulaire + justificatifs
d'identité.

>

> Le numéro de ticket concernant cette faille est le 393049.

Je regarde...

>
>
> Bon courage !

Merci

Soraya.

>
>
>
>

[Soraya]

Soraya wrote:
> Michael wrote:
[...]

>
> Bonjour,
>
> [...]
>
>>
>> Il faut savoir que je peux, si je le désire récuperer le domaine
>> gandi.net en changeant tout simplement l'adresse mail de NG270-GANDI !
>
>
> Vous ne pouvez changer l'adresse email en ligne que si vous possédez le
> mot de passe.
> Si vous ne possédez pas le mot de passe, et que votre email est invalide
> (ou incorrect) Gandi demande l'envoie d'un formulaire + justificatifs
> d'identité.
>
>>
>> Le numéro de ticket concernant cette faille est le 393049.
>
>
> Je regarde...

Michael,

Comme vous a indiqué Sam, vous n'avez pas les droits suffisants pour
modifier l'email d'un autre compte que celui avec lequel vous etes
authentifié!
Je viens de tester : je me loggue avec mon compte Gandi, j'utilise
l'url que vous avez indiqué je modifie la fin avec votre compte... et
j'ai bien un message d'erreur (ou une page d'erreur). Aucune
modification n'est possible.

Ouf... faut pas écrire des trucs comme ca.. l'avant dernier jour de
l'année... :)

Bonne Année !

Soraya.

[Pascal Bouchareine]

Salut,

On Fri, 29 Dec 2006 20:15:42 +0100, Michael wrote:

> La je contacte le support pour leur signaler cette faille et la réponse
> du support (trois jours plus tard) est : cette faille n'existe pas...

Dans ton mail au support, tu écris "[en faisant ça] on peut
très certainement [faire des choses horribles]".

Cette certitude là ne serait elle que doutes mal exprimés ?

Le support te répond simplement que ça n'est pas reproductible
pour lui même après trois jours d'intenses recherches.

Si tu veux, tu réponds à son mail tout simplement, et si le bug est
vérifié, il sera corrigé très rapidement et avec nos excuses.

Sinon, merci, au nom de toute l'équipe de newbies incompétents,
ça réchauffe le coeur, non vraiment :)

Bonne année!

[Michael]

Soraya a écrit :

Ok... alors dans ce cas, je viens de modifier l'adresse mail de NG270
pour vous prouver ce que je vous dit ...

J'ai remplacé n...@gandi.net par con...@gandi.net

A bientôt !

[Michael]

Pascal Bouchareine a écrit :

> Salut,
>
> On Fri, 29 Dec 2006 20:15:42 +0100, Michael wrote:
>> La je contacte le support pour leur signaler cette faille et la réponse
>> du support (trois jours plus tard) est : cette faille n'existe pas...
>
> Dans ton mail au support, tu écris "[en faisant ça] on peut
> très certainement [faire des choses horribles]".
>
> Cette certitude là ne serait elle que doutes mal exprimés ?
>
> Le support te répond simplement que ça n'est pas reproductible
> pour lui même après trois jours d'intenses recherches.

Pas sûr qu'ils aient cherché trois jours... Vu que je viens de prouver
ce que j'ai dit en changeant le mail de NG270...

> Si tu veux, tu réponds à son mail tout simplement, et si le bug est
> vérifié, il sera corrigé très rapidement et avec nos excuses.

J'attends donc les excuses ... ;)

> Sinon, merci, au nom de toute l'équipe de newbies incompétents,
> ça réchauffe le coeur, non vraiment :)
> Bonne année!
>

Bonne année également !

[Stephan Ramoin]

Michael a écrit :

Michael, tout d'abord merci pour nous avoir alerté, même si je
l'avoue j'ai du mal à comprendre l'interêt de poster ici (une relance
sur direction aurait suffit et aurait été plus rapide) :)

Les failles existent (surtout lorsque l'on reprends un existant que
l'on corrige au fur et à mesure), mais celle-là n'a été
reproductible qu'après maints essais infructueux, ce qui explique les
réactions ici exprimées.

Le fait que nos équipes soient réactives est le principal et ce qui
nous permet d'être sereins.

Bonnes Fêtes à tous !

Stephan

[Stephan Ramoin]

Michael, si vous pouviez changer le titre du post, personne n'a eu - ou
n'aura - son domaine volé ...

Merci de ce cadeau d'anniversaire (et oui ...)

[Soraya]

Stephan Ramoin wrote:
> Michael, si vous pouviez changer le titre du post, personne n'a eu - ou
> n'aura - son domaine volé ...

+1

>
> Merci de ce cadeau d'anniversaire (et oui ...)
>

hép hép hép! c'est demain votre anniversaire Patron :)

Soraya.

[Michael]

Stephan Ramoin a écrit :

> Michael, si vous pouviez changer le titre du post, personne n'a eu - ou
> n'aura - son domaine volé ...
>
> Merci de ce cadeau d'anniversaire (et oui ...)
>

Désolé, mais je peux grace a cette faille voler n'importe quel domaine...

Donc tant que cette faille n'est pas corrigée, le Vol de domaine est
tout à fait possible, et cela pour n'importe qui...

Bonne soirée

[Michael]

Michael a écrit :

Ah tiens... Quand je clique sur le lien qui va bien dans l'interface
gandi j'ai une belle erreur 404...

Hasard ??

++

[Mikaël Poussard]

Michael a écrit :

> Désolé, mais je peux grace a cette faille voler n'importe quel domaine...
>
> Donc tant que cette faille n'est pas corrigée, le Vol de domaine est
> tout à fait possible, et cela pour n'importe qui...
>

En ce cas il manquerait un "possible" ou un "potentiel", ce qui est
différent d'une affirmation. Mais on chipote.

--
Mik

[Pascal Bouchareine]

On Sat, 30 Dec 2006 21:00:14 +0100, Michael wrote:

> Désolé, mais je peux grace a cette faille voler n'importe quel domaine...
>
> Donc tant que cette faille n'est pas corrigée, le Vol de domaine est
> tout à fait possible, et cela pour n'importe qui...

Dans l'absolu oui, mais ouf ça n'est plus le cas.

On a trouvé l'origine du problème, qui était un problème fin et mesquin
évidemment. Quand on passait par l'interface d'admin du domaine, dans
certaines conditions, on pouvait éditer n'importe quel contact.

Merci d'avoir signalé le bug, c'est corrigé, dommage que nous ayions du
échanger ces informations ici.

[Soraya]

Non, ce n'est pas le hasard... ;) On est réactifs (un samedi soir sur la
Terre) quand on le peut et qu'on a tous les éléments en main.

Merci Michael d'avoir remonter cette anomalie.

Merci aux Gandi's Noc qu'on aime tant :)

On va pouvoir tous (humains et domaines) passer de trés bonnes fetes! :)

Bonsoir,

Soraya.

[Michael]

Pascal Bouchareine a écrit :

> On Sat, 30 Dec 2006 21:00:14 +0100, Michael wrote:
>
>> Désolé, mais je peux grace a cette faille voler n'importe quel domaine...
>>
>> Donc tant que cette faille n'est pas corrigée, le Vol de domaine est
>> tout à fait possible, et cela pour n'importe qui...
>
> Dans l'absolu oui, mais ouf ça n'est plus le cas.
>
> On a trouvé l'origine du problème, qui était un problème fin et mesquin
> évidemment. Quand on passait par l'interface d'admin du domaine, dans
> certaines conditions, on pouvait éditer n'importe quel contact.

C'est ce que j'expliquais très précisement dans mon message au support
qui n'a pas compris visiblement...

> Merci d'avoir signalé le bug, c'est corrigé,

Pas de quoi... ;)

> dommage que nous ayions du échanger ces informations ici.

c'était visiblement le seul moyen de vous faire réagir très vite...

Bon réveillon ;)

[Stephan Ramoin]

Michael a écrit :

>
> c'était visiblement le seul moyen de vous faire réagir très vite...

Absolument pas, mais on chipote encore :)

Merci, bon réveillon !
stephan

>
> Bon réveillon ;)

[Michael]

Stephan Ramoin a écrit :

> Michael a écrit :
>
>> c'était visiblement le seul moyen de vous faire réagir très vite...
>
> Absolument pas, mais on chipote encore :)

Vous me filez votre numéro de portable ? :D

> Merci, bon réveillon !
> stephan

Pareil ;)

[Stephan Ramoin]

Michael a écrit :

Et maintenant ? Je maintiens : personne n'a eu et n'aura son domaine
volé, le titre est bel et bien trompeur.

Merci par avance.
stephan

[Hervé]

Bonjour,
Personnellement je trouve que Michael vous a fait un beau cadeau et un geste
commercial à son égard me semble légitime.
Bonne année
Bretz

"Stephan Ramoin" <step...@gmail.com> a écrit dans le message de news:
1167510367.8...@k21g2000cwa.googlegroups.com...

[beepee]

+ 1
je n'ose pas imaginer la panade dans laquelle vous auriez été.
avez-vous chiffré celà "à la louche" ? vous seriez vous remis d'un tel
"gag" (537490 gag enregistrés) ?
une geste commercial ....un gros gros geste alors..

j'dis ça mais ça ne me regarde pas quoi que, en temps que client Gandi,
vous m'auriez entendu me manifester(bruyamment) une fois de plus.

meilleurs voeux à tous.

bp12XX-gandi

[Michael]

beepee a écrit :

> + 1
> je n'ose pas imaginer la panade dans laquelle vous auriez été.
> avez-vous chiffré celà "à la louche" ? vous seriez vous remis d'un tel
> "gag" (537490 gag enregistrés) ?

Ca aurait fait mal en effet... Surtout que des petits malins se seraient
amusés et que beaucoup de "grands noms" de domaines sont enregistrés
chez gandi...

> une geste commercial ....un gros gros geste alors..

Heuuu ouais je refuserai pas, c'est sûr... Tous mes domaines + tous les
nouveaux enregistrements gratuits à vie ? :D

> j'dis ça mais ça ne me regarde pas quoi que, en temps que client Gandi,
> vous m'auriez entendu me manifester(bruyamment) une fois de plus.
>
> meilleurs voeux à tous.

De même ! ;)

Michael

[Cornelia Schneider]

Michael <m.kozma@free|point|fr> wrote in news:459792c5$0$322
$426a...@news.free.fr:

> Heuuu ouais je refuserai pas, c'est sûr... Tous mes domaines + tous les
> nouveaux enregistrements gratuits à vie ? :D

Mais non mais non, 5 % des parts de la boîte, plutôt... :-)

Cornelia

--
Be out and be proud - today is the first day of the rest of your life
Support Transgenre Strasbourg : http://www.sts67.org
BoW : http://www.bownbend.com
GPG key ID 83FF7452, 659C 2B9F 7FD5 5C25 8C30 E723 4423 F8B8 83FF 7452

[beepee]

> Michael <m.kozma@free|point|fr> wrote in news:459792c5$0$322
> $426a...@news.free.fr:
>
>> Heuuu ouais je refuserai pas, c'est sûr... Tous mes domaines + tous les
>> nouveaux enregistrements gratuits à vie ? :D
>
> Mais non mais non, 5 % des parts de la boîte, plutôt... :-)
>
> Cornelia

et un poste à plein temps chez Gandu et bien remunéré puisque les
informaticiens de Gandi n'ont meme pas pensé à ce "petit gag".... (no
comment)

Michael, tu as de l'avenir. n'oublie pas de mettre cela sur ton CV et
envisage de changer de patron !!!

mais non, je plaisante ... quoique..

bp12XX-gandi

[Michael]

Cornelia Schneider a écrit :

> Michael <m.kozma@free|point|fr> wrote in news:459792c5$0$322
> $426a...@news.free.fr:
>
>> Heuuu ouais je refuserai pas, c'est sûr... Tous mes domaines + tous les
>> nouveaux enregistrements gratuits à vie ? :D
>
> Mais non mais non, 5 % des parts de la boîte, plutôt... :-)

Ha oui, ou je prends la place du boss aussi ? :D

> Cornelia
>

++

[beepee]

ptete pas kan meme car son fauteuil de boss peu tjrs devenir rapidement
devenir un siege .. éjectable..surtout avec une telle bevue

[Stephan Ramoin]

beepee a écrit :

N'exagérons rien quand même (sauf à vouloir faire carrière dans un
journal à sensations), je le répète les failles existent partout et
d'autant plus avec la reprise d'un existant patché dans tous les sens
(ce pourquoi nous refaisons tout d'ailleurs), le tout est de réagir
rapidement.

Allez, bonne année !

[Phach]

Michael <m.kozma@free|point|fr> wrote in news:459792c5$0$322
$426a...@news.free.fr:

> Ca aurait fait mal en effet... Surtout que des petits malins se seraient

> amusés et que beaucoup de "grands noms" de domaines sont enregistrés
> chez gandi...
>

en meme temps ca devait faire des mois que cette "faille" exitait et à ma
connaissance je n'ai jamais entendu parlé de vol de domaine avant cet
intervention ici.

Donc bon, faut relativiser les gars.

Pour une semaine de fête, faut avouer quand meme la bonne réactivité de
gandi.

Allez bonne années à tous.

Phach

[Spyou]

Soraya a écrit :

>>
>> Merci de ce cadeau d'anniversaire (et oui ...)
>>
> hép hép hép! c'est demain votre anniversaire Patron :)

Sans dec ?

Bon anniv, Stephan :)

[webs]

Spyou wrote:
> Bon anniv, Stephan :)

Pareil, et bonne année =))

[Soraya]

Hervé wrote:
> Bonjour,
> Personnellement je trouve que Michael vous a fait un beau cadeau et un geste
> commercial à son égard me semble légitime.

Une journée de massage intense par les Gandi's NOC ?
:)

Soraya.

[Cornelia Schneider]

Soraya <soray...@gandi.net> wrote in news:4597b5fb$0$314
$426a...@news.free.fr:

> Une journée de massage intense par les Gandi's NOC ?
> :)

Je serais Michael, je dirais banco à cette proposition.

[Stephan Ramoin]

Spyou a écrit :

Merci tout le monde :)

35 ans ;)

Bonne Année à vous !

[Spyou]

Cornelia Schneider a écrit :

> Soraya <soray...@gandi.net> wrote in news:4597b5fb$0$314
> $426a...@news.free.fr:
>
>
>>Une journée de massage intense par les Gandi's NOC ?
>>:)
>
>
> Je serais Michael, je dirais banco à cette proposition.

Perso, je dirais oui a une seance de massage par la hotline ..

Par le noc .. euhh .. joker ! :)

[Cornelia Schneider]

"Stephan Ramoin" <step...@gmail.com> wrote in
news:1167576519.2...@k21g2000cwa.googlegroups.com:

> 35 ans ;)

Jeunot va...

Cornelia (presque 12 de plus)

[beepee]

> "Stephan Ramoin" <step...@gmail.com> wrote in
> news:1167576519.2...@k21g2000cwa.googlegroups.com:
>
>> 35 ans ;)
>
> Jeunot va...
>
> Cornelia (presque 12 de plus)

beepee, et 3 de plus encore...
qui fait monter les enchéres ?

bouòna

bouòn cacha-fuèc, a anada toutara
en nissart dans le texte.

[Spyou]

beepee a écrit :

>> "Stephan Ramoin" <step...@gmail.com> wrote in
>> news:1167576519.2...@k21g2000cwa.googlegroups.com:
>>
>>> 35 ans ;)
>>
>>
>> Jeunot va...
>>
>> Cornelia (presque 12 de plus)
>
>
> beepee, et 3 de plus encore...
> qui fait monter les enchéres ?

4 de mieux si on ajoute les ages de tous les gens qui vivent a la maison !

Hahaaa !

[Stephan Ramoin]

beepee a écrit :

men bati sieu nissart :)

[Stephan Ramoin]

Spyou a écrit :

Bon vous venez quand tous boire un verre chez nous pour fêter ça ? :)

[Spyou]

Stephan Ramoin a écrit :

>>>beepee, et 3 de plus encore...
>>>qui fait monter les enchéres ?
>>
>>4 de mieux si on ajoute les ages de tous les gens qui vivent a la maison !
>>
>>Hahaaa !
>
>
> Bon vous venez quand tous boire un verre chez nous pour fêter ça ? :)

J'attends qu'on me prévienne pour le jour ou y'aura a boire au frigo ! :)

[webs]

Demain ? :D

[Stephan Ramoin]

webs a écrit :

> >
> > Bon vous venez quand tous boire un verre chez nous pour fêter ça ? :)
> >
> Demain ? :D

Pas de soucis, on est fidèles au poste :)

[Romuald Brunet]

Spyou <ro...@spyou.org> wrote:

> >>4 de mieux si on ajoute les ages de tous les gens qui vivent a la maison !
> >>
> >>Hahaaa !
> >
> >
> > Bon vous venez quand tous boire un verre chez nous pour fêter ça ? :)
>
> J'attends qu'on me prévienne pour le jour ou y'aura a boire au frigo ! :)

Tu es sur que tu veux pas qu'on te prévienne le jour ou il n'y aura
rien ? Parce que ça doit être moins souvent le cas ;-)

PS: Bonne année à tout le monde au passage \o/

--
Romuald Brunet

Attention il est très probable qu'une faute de frappe se soit glissée
dans mon adresse email.

[Olivier BONHOMME]

Spyou a écrit :

Rooh un vieux !

Bon anniversaire à Stephan.

Et bonne année à tous les autres !

Je souhaite à tout le monde plein de bonnes choses pour 2007 et surtout
plein de chocolat pour Soraya et Carole :)

[webs]

Stephan Ramoin wrote:
> webs a écrit :
>

>>> Bon vous venez quand tous boire un verre chez nous pour fęter ça ? :)
>>>
>> Demain ? :D
>
> Pas de soucis, on est fidčles au poste :)
>
Ok, a demain ou aprčs demain alors :P