Ce blogueur (site supprimé) nous expliquait comment, en créant un module Netvibes, il a réussi à s'introduire dans l'arrière boutique du site et a avoir accès aux identifiants des utilisateurs :
Bonjour,
Tout d'abord, mon but n'est pas de nuire à Netvibes, ni à ses employés et ni à ses utilisateurs.
Mon but est de démontrer que de nombreuses applications web 2.0 dont Netvibes ne protègent pas assez les données personnelles des utilisateurs.
Je suis un utilisateur de Netvibes depuis ces débuts et j'adore cette application. C'est une sorte de bureau sur le web qui permet de regrouper dans une interface ses mails, ses flux rss préférés, son calendrier perso, des post-it, et beaucoup d'autres choses : c'est une petite partie de sa vie privée auquelle on peut accéder depuis n'importe quel ordinateur (et téléphone depuis peu...) relié au web.
Je me suis donc posé la question : "Est-ce que toutes mes données sont réellement en sécurité sur Netvibes ?".
Et la réponse est NON !
Pour être bref, j'ai eu accès aux données personnelles de plusieurs milliers d'utilisateurs, leurs mot des passes, à leur compte Google, ... et pour finir, j'ai aussi eu accès au site utilisé par l'équipe de Netvibes pour développer notre site favori.
Je vais vous avouer que le premier soir où j'ai découvert tout ça, j'ai eu beaucoup de mal à trouvé le sommeil. Car si mon intention n'est pas d'exploiter ces données, ce n'est pas le cas de tout le monde sur le web. Donc si j'ai pu accéder à toutes ces données, pourquoi pas d'autres ?
Je vais donc vous décrire comment j'ai pu accéder à ces données, mais sans rentrer dans les détails, ni donner d'informations techniques afin que personne ne puisse nuire aux utilisateurs avant que Netvibes prenne des mesures nécessaire pour résoudre ces problème de sécurité.
- Etape 1 :
Cette étape de validation doit sûrement leur servir à vérifier que le module n'affiche pas de contenus illicites, ou qu'il ne gêne pas le bon fonctionnement de Netvibes.
Le premier problème que j'ai constaté est que le module peut être totalement remodifié par son développeur sans aucune étape de revalidation de la part de Netvibes...
- Etape 2 :
Je suis même capable avec mon module "modifié" de supprimé tout les flux rss et les modules de l'utilisateur ou de remplacer certains modules par d'autres, de modifier le titre de sa page personnelle,... => Je peux donc complètement "hacké" la page d'un utilisateur ayant ajouté mon module.
A cette étape, je n'ai pas encore trouvé le moyen de récupérer le mot de passe utilisé pour se connecter à son compte Netvibes (ça va venir un peu plus loin...).
Les données que j'ai pu récupérer à ce stade sont :
- Les emails des utilisateurs utilisés pour se connecter à leur compte Netvibes => je pourrais utiliser cette liste d'emails pour spammer.
- La liste de tous leurs flux rss affichés dans Netvibes => je pourrais donc spammer les utilisateurs en fonction de leurs loisirs, intérêts personnels, leurs sites préférés...
- La liste de tous leurs calendriers, même personnel utilisés dans les modules Ical, ou Google Calendar.
- Les libellés des mails GMail (je n'ai pas essayé avec les autres mais ça doit aussi marcher) issu du flux https://mail.google.com/mail/feed/atom
- Tous les paramètres de configuration des modules. C'est particulièrement dangereux dans le cas de ce module par exemple : http://eco.netvibes.com/modules/14557/my-google-adsense
Il permet d'afficher son compte adsense dans Netvibes. Il m'est donc possible d'avoir les comptes d'accès à Adsense de ces personnes. Il en ait de même pour tout les modules accédant à des sites tiers ayant besoin de s'authentifier et où les logins d'accès sont paramétrés dans les modules.
- Les notes saisies dans les bloc-notes ("Webnote"). On n'imagine même pas tout ce que peuvent noter les utilisateurs : login/mot de passe d'accès à divers comptes sites.
Bon, à ce stade, j'arrive à récupérer une multitude d'informations personnelles, ainsi que des logins vers des sites tels que Google Adsense et autres...
- Etape 3 :
Soit je contacte Netvibes, je leur signale les problèmes, ils corrigent et personne n'en entend parler... Et les utilisateurs continueront de ne pas se soucier de leurs données personnelles.
Soit je crée ce blog pour essayer modestement à mon niveau de faire changer les choses :
- les utilisateurs doivent être beaucoup plus prudents sur leurs données personnelles.
- les développeurs des nouveaux sites dits "web 2.0" tels que Netvibes doivent mettre la sécurité en première place dans leur liste de priorités.
J'ai choisis la deuxième solution.
Donc à ce stade, je décide de créer ce blog. Et là, je me pose une question : "N'y aurait-il pas quelqu'un de l'équipe Netvibes dont j'aurais récupérer les infos ?"
- Etape 4 :
Donc je regarde et je vois qu'il utilise lui aussi des Webnotes comme nous tous, dans lequel il note des choses dont je n'aurais jamais pensé trouver : ces logins d'accès au site de développement et au wiki utilisés par les développeurs de Netvibes, ainsi qu'un login d'accès vers une base de données de sauvegarde où se trouve toutes les données des utilisateurs!!!
Non, vous ne rêvez pas! Moi aussi, j'ai eu du mal à le croire quand j'ai découvert ça !
- Etape 5 :
- version mobile de Netvibes
- intégration des widgets Google
- partenariat avec de grande marques (Google, Aol, Skype, ...)
- création d'une communauté Netvibes avec gestion de profils et amis
J'ai de plus accès à toutes les sources des programmes php de Netvibes, ce qui pourrait me permettre de trouver encore plus de failles de sécurité !
Et enfin, j'ai accès à une base de données de sauvegarde qui contient login/mot de passe des utilisateurs. Les mots de passes sont codés en MD5 mais de nombreux sites tels que http://md5.c.la permettent de décoder certains de ces mots de passes. J'ai essayé, il y a environ un mot de passe sur cinq que j'arrive à décoder...
Le pire là dedans, c'est que la plupart des utilisateurs utilisent comme login et mot de passe Netvibes celui de leur compte mail Google ou autre (tout comme moi d'ailleurs!).
Bon, arrivé à ce stade en a peine quelques jours, je suis cette fois convaincu que mes données ne sont pas du tout en sécurité sur Netvibes et je vais aller changer immédiatement le mot de passe de mon compte Google !!!
Donc en résumé, voici la liste impensable des données que je suis capable de récupérer :
- emails / mot de passe de connexion à Netvibes
- liste des flux rss utilisés
- accès au compte mail si le login/mot de passe est le même que celui de Netvibes
- accès aux sources php de Netvibes
- Conclusion
Je le répète, mon intention n'est pas de nuire à Netvibes, ni aux utilisateurs. Je veux juste que les internautes se rendent compte que leurs données personnelles ne sont pas forcément en sécurité. Et il faut que les développeurs de ces nouveaux sites "web 2.0" se préoccupe en priorité de la sécurité des données de leurs utilisateurs.
Après la lecture de cet article, je conseille donc :
- à Netvibes :
- de former les développeurs sur la sécurité
- de supprimer tout leurs "Webnote" contenant des données confidentielles
- de bloquer tout les modules qui enregistre des logins et mot de passe de sites tiers tel que celui-ci : http://eco.netvibes.com/modules/14557/my-google-adsense
- de demander à tous leurs utilisateurs de changer le mot de passe de leur compte Netvibes, ainsi que leur compte email s'il est identique
- de me contacter afin que je leur donne la faille que j'ai utilisé afin de sécuriser Netvibes
- aux utilisateurs :
- de ne pas saisir de données confidentielles dans leurs "Webnotes"
- de se montrer plus prudents sur ces nouveaux sites "Web 2.0", même aussi populaires que Netvibes, qui sont merveilleux à utiliser mais qui ne vous protègent pas tous encore contre le vol de données personnelles par des personnes malintentionnées...
J'espère que cet article va faire du "bruit" et qu'il contribuera à faire changer les choses. Je compte sur vous tous pour relayer l'information.
A Web 2.0 user...
Aucun commentaire:
Enregistrer un commentaire