CNAM + Paybox != sécurité ?

ma femme s’inscrivant au Cnam, me demande confirmation avant de rentrer sa carte bleue:

  • Le site est bien en https
  • Le domaine est paybox, très utilisé par les sites marchands
  • Le certificat est de type Extended SSL, Internet Explorer a mis le fond vert dans la barre d’adresse

Je donne donc mon feu vert…30 secondes plus tard, une belle erreur SQL pas gérée du tout:

cnam - paybox - erreur SQL

Pour une école, donnant notamment des cours informatique, cela me parait très léger:

  • Ils ne devraient utiliser que des procédures stockées
  • L’erreur n’apprend rien au client (il est censé prendre des cours d’informatique au mieux…)
  • Elle apprend par contre à un pirate que le code du site a des faiblesses, et qu’il y a sûrement moyen de faire des injections SQL.

La seule bonne nouvelle, c’est que Paybox ne renvoi que le début de la carte bleue au site du cnam, qui n’affiche donc qu’une information partielle.

3 réflexions au sujet de “CNAM + Paybox != sécurité ?”

  1. ce qui est clair c’est que le CNAM n’a pas respecté les consignes d’intégration préconisées par PAYBOX

Laisser un commentaire