Je viens de découvrir un trou de sécurité tout bête sur le site de blog passado.com (j’ai une copine qui y tient son blog). J’ai posté un commentaire sur un de ses billets, commentaire qui contient une URL vers un de mes articles sur mon site.
Jusque là, rien d’extraordinaire me direz-vous. Sauf que, par hasard, je suis allé voir ce soir la liste des "sites référents" de mon site. Pour les non connaisseurs, sachez que c’est la liste des pages Web qui contiennent des liens vers votre site, et sur lesquels les gens ont cliqué pour atteindre une de ses pages. Or, ma copine, alors qu’elle était identifiée sur Passado, avait bien cliqué sur le lien que j’avais mis en commentaire. La preuve, j’ai trouvé dans la liste des liens référents :
http://fr.passado.com/blogEntry.aspx?entry_id=xxxx&e=adresse-email@du_blogueur.chez-passado.com
Dans cette URL, le "xxxx" est le numéro identifiant du blogueur chez Passado. Ca, ça n’est pas grave. Ce qui est plus dangereux, c’est que l’adresse email du blogueur s’y trouve en clair ! Ca pose deux problèmes :
- l’identité du blogueur n’est plus secrète. Facile ainsi de connaitre l’adresse email de la personne qui est derrière le blog. On peut alors la harceler, la spammer, croiser l’e-mail avec google ou autre spock pour chercher d’autres publications qu’elle a faites, etc.
- mais en plus, chez passado, cette adresse email est le login du blog. Aussi, si vous êtes un peu fort en hacking social (ou social engineering pour les anglophones), si vous connaissez le prénom du conjoint, le nom du chien, du chat, ou la date de naissance du p’tit dernier, il vous sera facile de vous connecter sur le blog avec l’identité de la personne piratée. De lire ses messages perso, de poster des billets en se faisant passer pour elle… Si vous n’êtes pas bon en hacking social, vu la complexité (ou plutôt le manque de complexité) des mots de passe choisis en général par les blogueurs, il est facile de programmer un petit bot qui fera une attaque en force avec un bon dictionnaire.
Bref, mon conseil du jour : si vous êtes logué sur un site Web (comme passado, mais il y en a peut-être d’autres), ne cliquez pas sur une URL postée par une personne que vous ne connaissez pas. Au pire, faites un copier/coller de cette adresse dans une page vierge du navigateur que vous aurez ouvert par vous-même (ça ne laisse pas de trace dans la liste des référents).
Ce n’est par un trou de sécurité. C’est un script mal écrit, et mal conçu tout simplement.
Inutile de crier au loup !
bon, c’est c’est vrai, il y a un trou à la sécu
suffit juste que je ne clique pas sur les liens
et c’est vrai, mon mot de passe est une chaine de caractères à deux balles pour pallier au déficite de ma mémoire….
V.
Cher anonyme, je pense qu’il faut revoir vos définitions : << En informatique, le terme vulnérabilité ou faille de sécurité se réfère à une faiblesse dans un système, permettant à un attaquant de porter atteinte à la sécurité d’une information ou d’un système d’information. >>
Si le fait de se croire anonyme, alors qu’en pratique, votre adresse email est facilement accessible par tout le monde n’est pas une faille de sécurité…
Et je ne crie pas aux loups ! Je souhaite juste être pédagogue. Si moi, je suis informaticien, ça n’est pas le cas des personnes qui publient sur ce genre de moteur de blog.
Au contraire : alors qu’ils utilisent un service « professionnel », ils ont l’impression d’être à l’abri (alors qu’en fait, vous l’avouez vous-même, le moteur est constitué de scripts mal conçus).
Si mon billet a permis à au moins une personne de prendre conscience qu’il n’est pas toujours sécurisé de cliquer sur un lien pouvant sembler anodin, ou qu’il vaut mieux utiliser des mots de passe complexes, alors, je ne regrette vraiment pas de l’avoir écrit.