Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Netvibes hacké !

Trouvé sur le merveilleux blog de 3Couleurs un article d’un bloggeur (article introuvable d’ailleurs) qui a réussi à s’introduire chez Netvibes simplement avec un module qu’il a développé lui-même:

« Bonjour,


Tout d’abord, mon but n’est pas de nuire à Netvibes, ni à ses employés et ni à ses utilisateurs.
Mon but est de démontrer que de nombreuses applications web 2.0 dont Netvibes

Je suis un utilisateur de Netvibes depuis ces débuts et j’adore cette application. C’est une sorte de bureau sur le web qui permet de regrouper dans une interface ses mails, ses flux rss préférés, son calendrier perso, des post-it, et beaucoup d’autres choses : c’est une petite partie de sa vie privée auquelle on peut accéder depuis n’importe quel ordinateur (et téléphone depuis peu…) relié au web.
Je me suis donc posé la question : « Est-ce que toutes mes données sont réellement en sécurité sur Netvibes ?« .

Et la réponse est NON !

Pour être bref, j’ai eu accès aux données personnelles de plusieurs milliers d’utilisateurs, leurs mot des passes, à leur compte Google, … et pour finir, j’ai aussi eu accès au site utilisé par l’équipe de Netvibes pour développer notre site favori.

Je vais vous avouer que le premier soir où j’ai découvert tout ça, j’ai eu beaucoup de mal à trouvé le sommeil. Car si mon intention n’est pas d’exploiter ces données, ce n’est pas le cas de tout le monde sur le web. Donc si j’ai pu accéder à toutes ces données, pourquoi pas d’autres ?

Je vais donc vous décrire comment j’ai pu accéder à ces données, mais sans rentrer dans les détails, ni donner d’informations techniques afin que personne ne puisse nuire aux utilisateurs avant que Netvibes prenne des mesures nécessaire pour résoudre ces problème de sécurité.

ne protègent pas assez les données personnelles des utilisateurs.

  • Etape 1 :

J’ai créer un module Netvibes (comme de nombreux disponibles sur http://eco.netvibes.com) que j’ai publié. Il a été accepté par l’équipe de Netvibes et a été mis en ligne sur http://eco.netvibes.com.
Cette étape de validation doit sûrement leur servir à vérifier que le module n’affiche pas de contenus illicites, ou qu’il ne gêne pas le bon fonctionnement de Netvibes.
Le premier problème que j’ai constaté est que le module peut être totalement remodifié par son développeur sans aucune étape de revalidation de la part de Netvibes…

  • Etape 2 :

Donc après une étude approfondie du site de Netvibes, je trouve une faille et je modifie mon module afin de récupérer les informations des utilisateurs ouvrant mon module dans Netvibes. Et j’envoie ces données vers un serveur. Pour information, à peine plus de 10 lignes de code m’ont permis de faire ça…

Je suis même capable avec mon module « modifié » de supprimé tout les flux rss et les modules de l’utilisateur ou de remplacer certains modules par d’autres, de modifier le titre de sa page personnelle,… => Je peux donc complètement « hacké » la page d’un utilisateur ayant ajouté mon module.
A cette étape, je n’ai pas encore trouvé le moyen de récupérer le mot de passe utilisé pour se connecter à son compte Netvibes (ça va venir un peu plus loin…).

Les données que j’ai pu récupérer à ce stade sont :

Les emails des utilisateurs utilisés pour se connecter à leur compte Netvibes => je pourrais utiliser cette liste d’emails pour spammer.
La liste de tous leurs flux rss affichés dans Netvibes => je pourrais donc spammer les utilisateurs en fonction de leurs loisirs, intérêts personnels, leurs sites préférés…
La liste de tous leurs calendriers, même personnel utilisés dans les modules Ical, ou Google Calendar.
Les libellés des mails GMail (je n’ai pas essayé avec les autres mais ça doit aussi marcher) issu du flux https://mail.google.com/mail/feed/atom
Tous les paramètres de configuration des modules. C’est particulièrement dangereux dans le cas de ce module par exemple : http://eco.netvibes.com/modules/14557/my-google-adsense
Il permet d’afficher son compte adsense dans Netvibes. Il m’est donc possible d’avoir les comptes d’accès à Adsense de ces personnes. Il en ait de même pour tout les modules accédant à des sites tiers ayant besoin de s’authentifier et où les logins d’accès sont paramétrés dans les modules.
Les notes saisies dans les bloc-notes (« Webnote »). On n’imagine même pas tout ce que peuvent noter les utilisateurs : login/mot de passe d’accès à divers comptes sites.

Bon, à ce stade, j’arrive à récupérer une multitude d’informations personnelles, ainsi que des logins vers des sites tels que Google Adsense et autres…

  • Etape 3 :

Je me suis posé la question : « Qu’est ce que je fais maintenant?« .

Soit je contacte Netvibes, je leur signale les problèmes, ils corrigent et personne n’en entend parler… Et les utilisateurs continueront de ne pas se soucier de leurs données personnelles.
Soit je crée ce blog pour essayer modestement à mon niveau de faire changer les choses :
– les utilisateurs doivent être beaucoup plus prudents sur leurs données personnelles.
– les développeurs des nouveaux sites dits « web 2.0 » tels que Netvibes doivent mettre la sécurité en première place dans leur liste de priorités.

J’ai choisis la deuxième solution.

Donc à ce stade, je décide de créer ce blog. Et là, je me pose une question : « N’y aurait-il pas quelqu’un de l’équipe Netvibes dont j’aurais récupérer les infos ?« 

  • Etape 4 :

On passe donc à l’étape suivante. Je fais donc une recherche sur le terme « @netvibes.com » dans les données que j’ai collectées et je trouve un utilisateur. C’est un des développeurs de Netvibes !
Donc je regarde et je vois qu’il utilise lui aussi des Webnotes comme nous tous, dans lequel il note des choses dont je n’aurais jamais pensé trouver : ces logins d’accès au site de développement et au wiki utilisés par les développeurs de Netvibes, ainsi qu’un login d’accès vers une base de données de sauvegarde où se trouve toutes les données des utilisateurs!!!
Non, vous ne rêvez pas! Moi aussi, j’ai eu du mal à le croire quand j’ai découvert ça !

{alt1}


  • Etape 5 :

En me baladant sur leur wiki, je découvre les futures évolutions de Netvibes (pas de grand scoop) :
version mobile de Netvibes
intégration des widgets Google
partenariat avec de grande marques (Google, Aol, Skype, …)
création d’une communauté Netvibes avec gestion de profils et amis

{alt2}


J’ai de plus accès à toutes les sources des programmes php de Netvibes, ce qui pourrait me permettre de trouver encore plus de failles de sécurité !

Et enfin, j’ai accès à une base de données de sauvegarde qui contient login/mot de passe des utilisateurs. Les mots de passes sont codés en MD5 mais de nombreux sites tels que http://md5.c.la permettent de décoder certains de ces mots de passes. J’ai essayé, il y a environ un mot de passe sur cinq que j’arrive à décoder…
Le pire là dedans, c’est que la plupart des utilisateurs utilisent comme login et mot de passe Netvibes celui de leur compte mail Google ou autre (tout comme moi d’ailleurs!).

{alt3}   {alt4}


Bon, arrivé à ce stade en a peine quelques jours, je suis cette fois convaincu que mes données ne sont pas du tout en sécurité sur Netvibes et je vais aller changer immédiatement le mot de passe de mon compte Google !!!

Donc en résumé, voici la liste impensable des données que je suis capable de récupérer :
– emails / mot de passe de connexion à Netvibes
– liste des flux rss utilisés
– accès au compte mail si le login/mot de passe est le même que celui de Netvibes
– accès aux sources php de Netvibes

  • Conclusion

Je suis encore secoué par tout ce que j’ai pu découvrir et avec quelle facilité j’ai pu y parvenir !
Je le répète, mon intention n’est pas de nuire à Netvibes, ni aux utilisateurs. Je veux juste que les internautes se rendent compte que leurs données personnelles ne sont pas forcément en sécurité. Et il faut que les développeurs de ces nouveaux sites « web 2.0 » se préoccupe en priorité de la sécurité des données de leurs utilisateurs.

Après la lecture de cet article, je conseille donc :

  • à Netvibes :

– de changer tout les logins d’accès à leurs sites de développement
– de former les développeurs sur la sécurité
– de supprimer tout leurs « Webnote » contenant des données confidentielles
– de bloquer tout les modules qui enregistre des logins et mot de passe de sites tiers tel que celui-ci : http://eco.netvibes.com/modules/14557/my-google-adsense
– de demander à tous leurs utilisateurs de changer le mot de passe de leur compte Netvibes, ainsi que leur compte email s’il est identique
– de me contacter afin que je leur donne la faille que j’ai utilisé afin de sécuriser Netvibes

  • aux utilisateurs :

– de changer régulièrement leurs mots de passe
– de ne pas saisir de données confidentielles dans leurs « Webnotes »
– de se montrer plus prudents sur ces nouveaux sites « Web 2.0 », même aussi populaires que Netvibes, qui sont merveilleux à utiliser mais qui ne vous protègent pas tous encore contre le vol de données personnelles par des personnes malintentionnées…

J’espère que cet article va faire du « bruit » et qu’il contribuera à faire changer les choses. Je compte sur vous tous pour relayer l’information.

A Web 2.0 user…« 

Bon, c’est évidement à prendre avec les précautions d’usage car il pourrait s’agir d’un enorme fake destiné a faire de la mauvaise publicité à Netvibes mais franchement, avouez que c’est énorme, non ?

Je souhaite de tout coeur (si c’est vrai) à netvibes de blinder rapidement leur système car j’aime beaucoup leur système et ça m’embêterai vraiment d’aller ailleurs 🙂

 


Les articles du moment