Voici une petite faille toute simple dans une application sociale qu’à découvert Vincent, lecteur de Korben.info.
Je ne sais pas si vous vous souvenez, mais il y a quelque temps, le Sunday Times (journal anglais) lançait The Social List, un site permettant de faire un peu comme Klout, du concours de quéquette d’influence sur les réseaux sociaux.
The Social List pour fonctionner correctement réclame un accès au choix à 4 sites : Facebook, Twitter, Foursquare et LinkedIn.
Évidemment, le site a rencontré un franc succès principalement dans l’Empire Britannique 😉 mais aussi un peu partout dans le monde. Au total, on compte plus de 150 000 inscrits au services.
Mais c’était sans compter sur Vincent qui a trouvé une faille béante durant le process d’authentification de The Social List, qui permet d’usurper l’identité de n’importe qui et donc de poster des messages sur Twitter par exemple à la place des vrais inscrits… Oui, car il est possible de Twitter directement depuis l’appli The Social List, comme dans la plupart des applications de ce genre.
Heureusement, Vincent est un mec sympa et a prévenu le Sunday Times, qui a tout de même mis plus de 4 mois à corriger le problème. Voici comment ça fonctionnait :
Il suffit de s’identifier avec un compte bidon via l’API publique de Facebook par exemple.
Une fois que The Social List a fait son travail, c’est à dire collecter toutes mes infos, l’application demande au navigateur de lui renvoyer toutes les infos via un formulaire. L’astuce, c’est que ce formulaire avait un attribut myAppID qui permet de se connecter à l’interface utilisateur. Simplement en se basant sur la base de données des inscrits au service (qui est accessible publiquement, avec les IDs et tout et tout), il est possible avec un petit outil comme TamperData, de modifier ce myAppId par celui de l’utilisateur de votre choix et d’aller poster sur son compte Twitter ou Foursquare par exemple.
Hop, on est loggé sous le compte de quelqu’un d’autre. La preuve, on a accès à son Foursquare et son Twitter
Et bien sûr, on peut écrire ce qu’on veut sur Twitter, en se faisant passer pour lui
Il y avait environ 50 000 comptes qui pouvaient être usurpés. Parmi ces comptes, on retrouvait :
- NBC
- FoxNews
- France Diplomatie
- Audi
- MTV
- Mercedes Benz UK
- Westfield London (un important centre commercial de Londres)
- Goom Radio
- Oxfam
- BBC
- Éric Freyssinet (L’un des big boss de la lutte contre la cyber criminalité)
- Google Apps Irlande
- Et un paquet de blogueurs US/UK/FR comme Guy Kawasaki, Jean François Ruiz, Michelle Blanc, Presse Citron
- …etc., etc. je n’ai pas fait le tour tellement y’en a.
Imaginez la panique qu’aurait pu engendrer une fausse info balancée sur tous les gros médias en même temps, y compris sur FranceDiplo…
« La France déclare la guerre à l’Angleterre, tirez à vue ! »
Ou l’annonce d’une fausse offre promotionnelle par une grosse société…
« Venez bruler votre ancienne voiture devant une concession Mercedes et on vous en offre une nouvelle »
Ou un lien vers un malware envoyé sur les 50 000 comptes en même temps…
« Quand je rentre je me couche. Trop épuisé. Avec toi ? Click ici pour me voir nu -> http://kbn.im/rDHnnJ »
Ou encore tout un tas de fausses conneries racontées par toutes les « personnalités » présentes dans cette liste.
Bref, on aurait pu se marrer. Cette faille pourrait aussi expliquer certains « piratages » non élucidés de ces derniers mois, qui sait… Mais ce qui est sûr, c’est que ce genre de faille doit exister dans d’autres applications dans d’autres galaxies du web… TREMBLEZ MORTELS !
Merci à Vincent pour le partage !