Un développeur Russe du nom de Egor Homakov a exploité une faille dans Rails découverte l’année dernière et ainsi pu accéder (virtuellement) à l’ensemble des comptes Github. La faille se situe au niveau des variables attr_accessible et attr_protected qui si elles ne sont pas déclarées, permettent à des petits malins d’ajouter une valeur dans n’importe quelle colonne de votre base de données.
Étant donné que la plupart des développeurs ne sécurisent pas cette partie, il y a de nombreuses applications Rails qui sont faillibles dont Github.
Pour se connecter sur un compte utilisateur qui ne lui appartient pas, le hacker n’a qu’à simplement éditer la page web avec un Firebug et ajouter un champ HTTP qui lui permet de voir ou de modifier certaines valeurs en base. Je ne rentre pas plus dans les détails, car je ne connais pas suffisamment RoR pour vous donner une leçon de sécurisation, mais je vous invite à lire cet excellent article.
Comme chez Rails, ça n’a pas réagit, Ergor a fait un full disclosure sur son blog et maintenant la faille est corrigée, y compris chez Github… (qui a corrigé et full disclosé le problème… bravo ! Mais qui a bloqué le compte de Egor… pas cool ! pour enfin le réactiver suite à la pression populaire…).
Par contre, tapie dans l’ombre sur d’autres services obscurs, cette faille attend paisiblement que quelqu’un de mal intentionné s’en empare… Ça va fuiter chérie !
Merci à Fred pour l’info !