Exclusif : Le système informatique Desknow, dédié aux courriers électroniques souffre de deux vulnérabilités qui mettent en danger les sites hébergeurs et les utilisateurs.

Le système informatique Desknow est l'une des référence dans la gestion des courriels et dans le travail collaboratif au sein d'une entreprise. Édité par la société australienne Desknow, l'outil est très complet, simple à utiliser, bref efficace. Il prend en charge les besoins en communication et collaboration d'une entreprise.

Seulement, ce système souffre de deux failles de sécurité importantes qui permettent la création de comptes (HaideD 207). Une première vulnérabilité de type "Directory Traversal Vulnerabilities". "Il est possible de créer un compte, explique Youssef Manar, spécialiste Marocain en sécurité informatique, accéder aux informations, les modifier, ..." Une possibilité constatée par la rédaction de ZATAZ.COM. A noter qu'il est aussi possible de spoofer l'identité du serveur employant Desknow et d'usurper la moindre identité par ce biais.

La seconde faille permet d'accéder à l'assistant d'initialisation de la base de données. Spécifier IP, mot de passe, ... devient un jeu d'enfant pour le pirate qui aurait la solution en main. Bien évidement, nous ne vous expliquerons pas comment faire. Desknow a été contacté voilà 10 jours, sans réponse.

Une second courrier "Alerte" a été diffusé ce matin. Il a été doublé au CERTA et CERT-Ist. L'ensemble des versions Desktop 3x. sont touchées par ces deux failles.