[retour sur la homepage] [sommaire des news]

[dimanche 04 février 2007 à 23:37:31] Lu 400749 fois (375845 by )
SECURITE /
NETVIBES s'est fait hacké

Encore un grave soucis de sécurité au sein du WEB2.0

Ce week-end, un utilisateur de NETVIBES a réussi - un peu par hasard - à pénétrer les zones sécurisés dudit site web. Non content d'avoir pu accéder à l'ensemble des mails inscrits dans les comptes des abonnés, il a pu également se procurer diverses informations sensibles dont les mots de passe des comptes adwords et adsenses ainsi que de bien d'autres choses encore.



Un blog pour expliquer la faille

Devant cette effroyable "découverte", il décide alors d'expliquer tout cela via un blog en ne rentrant pas trop dans les détails, histoire de ne pas donner toutes les instructions et tenter d'autres "hackers".


http://securityweb20.blogspot.com/

Quelques petites heures après avoir poster son billet sur SCOOPEO afin d'informer toute la communauté de ce danger et attirant du coup l'attention des responsables de NETVIBES, nous avons pu constater la disparition soudaine de son blog.

La page a depuis totalement disparu. Personnellement, je pense que les responsables de NETVIBES ont du faire pression et lui faire peur en lui demandant d'ôter sur le champ la page sous peine de poursuite.



Devons-nous être inquiets ?

A priori, vu le nombre de copies d'écran et les témoignages glanés çà et là sur cette hsitoire, on ne peut que s'en remettre à l'évidence : la démonstration de cet internaute n'est pas une supercherie. Bien au contraire, elle était même très complète. Plus tard, nous apprenions même que la "faille" - selon des sources en provenance de l'équipe Netvibes - avait été colmatée... mais je reste un peu perplexe car il semble étrange que l'intervention ait pu être aussi rapide, surtout un dimanche. Et puis, quelle preuve avons-nous que cela soit réellement le cas ?

Quoiqu'il en soit, cette histoire démontre une fois de plus que nous ne sommes pas suffisament protégé d'un piratage lorsque nous "confions" nos données personnelles à des tiers. La sécurisation est loin d'être parfaite sur beaucoup de sites web (NETVIBES n'est hélas pas le seul) ce qui me fait dire qu'il devrait y avoir de la part de la CNIL ou d'un organisme attitré une meilleure surveillance des professionnels proposant des services sensibles dits "sécurisés".

Quelle angoisse.

Il ne semble pas, par ailleurs, que NETVIBES ait informé pour l'instant ses utilisateurs du danger potentiel de ce piratage de leurs données, histoire de prendre les devant. C'est la moindre des choses.

Si vous êtes donc un utilisateur de NETVIBES, dans le doute, je vous invite à modifier au plus vite les différentes infos qui s'y trouvent dont, en priorité, les mots de passe et vos emails.



Le contenu du blog "securityweb20.blogspot.com"

Bonjour,

Tout d'abord, mon but n'est pas de nuire à Netvibes, ni à ses employés et ni à ses utilisateurs.
Mon but est de démontrer que de nombreuses applications web 2.0 dont Netvibes ne protègent pas assez les données personnelles des utilisateurs.

Je suis un utilisateur de Netvibes depuis ces débuts et j'adore cette application. C'est une sorte de bureau sur le web qui permet de regrouper dans une interface ses mails, ses flux rss préférés, son calendrier perso, des post-it, et beaucoup d'autres choses : c'est une petite partie de sa vie privée auquelle on peut accéder depuis n'importe quel ordinateur (et téléphone depuis peu...) relié au web.
Je me suis donc posé la question : "Est-ce que toutes mes données sont réellement en sécurité sur Netvibes ?".

Et la réponse est NON !

Pour être bref, j'ai eu accès aux données personnelles de plusieurs milliers d'utilisateurs, leurs mot des passes, à leur compte Google, ... et pour finir, j'ai aussi eu accès au site utilisé par l'équipe de Netvibes pour développer notre site favori.

Je vais vous avouer que le premier soir où j'ai découvert tout ça, j'ai eu beaucoup de mal à trouvé le sommeil. Car si mon intention n'est pas d'exploiter ces données, ce n'est pas le cas de tout le monde sur le web. Donc si j'ai pu accéder à toutes ces données, pourquoi pas d'autres ?

Je vais donc vous décrire comment j'ai pu accéder à ces données, mais sans rentrer dans les détails, ni donner d'informations techniques afin que personne ne puisse nuire aux utilisateurs avant que Netvibes prenne des mesures nécessaire pour résoudre ces problème de sécurité.

  • Etape 1 :
J'ai créer un module Netvibes (comme de nombreux disponibles sur http://eco.netvibes.com) que j'ai publié. Il a été accepté par l'équipe de Netvibes et a été mis en ligne sur http://eco.netvibes.com.
Cette étape de validation doit sûrement leur servir à vérifier que le module n'affiche pas de contenus illicites, ou qu'il ne gêne pas le bon fonctionnement de Netvibes.
Le premier problème que j'ai constaté est que le module peut être totalement remodifié par son développeur sans aucune étape de revalidation de la part de Netvibes...
  • Etape 2 :
Donc après une étude approfondie du site de Netvibes, je trouve une faille et je modifie mon module afin de récupérer les informations des utilisateurs ouvrant mon module dans Netvibes. Et j'envoie ces données vers un serveur. Pour information, à peine plus de 10 lignes de code m'ont permis de faire ça...

Je suis même capable avec mon module "modifié" de supprimé tout les flux rss et les modules de l'utilisateur ou de remplacer certains modules par d'autres, de modifier le titre de sa page personnelle,... => Je peux donc complètement "hacké" la page d'un utilisateur ayant ajouté mon module.
A cette étape, je n'ai pas encore trouvé le moyen de récupérer le mot de passe utilisé pour se connecter à son compte Netvibes (ça va venir un peu plus loin...).

Les données que j'ai pu récupérer à ce stade sont :

- Les emails des utilisateurs utilisés pour se connecter à leur compte Netvibes => je pourrais utiliser cette liste d'emails pour spammer.
- La liste de tous leurs flux rss affichés dans Netvibes => je pourrais donc spammer les utilisateurs en fonction de leurs loisirs, intérêts personnels, leurs sites préférés...
- La liste de tous leurs calendriers, même personnel utilisés dans les modules Ical, ou Google Calendar.
- Les libellés des mails GMail (je n'ai pas essayé avec les autres mais ça doit aussi marcher) issu du flux https://mail.google.com/mail/feed/atom
- Tous les paramètres de configuration des modules. C'est particulièrement dangereux dans le cas de ce module par exemple : http://eco.netvibes.com/modules/14557/my-google-adsense
Il permet d'afficher son compte adsense dans Netvibes. Il m'est donc possible d'avoir les comptes d'accès à Adsense de ces personnes. Il en ait de même pour tout les modules accédant à des sites tiers ayant besoin de s'authentifier et où les logins d'accès sont paramétrés dans les modules.
- Les notes saisies dans les bloc-notes ("Webnote"). On n'imagine même pas tout ce que peuvent noter les utilisateurs : login/mot de passe d'accès à divers comptes sites.

Bon, à ce stade, j'arrive à récupérer une multitude d'informations personnelles, ainsi que des logins vers des sites tels que Google Adsense et autres...

  • Etape 3 :
Je me suis posé la question : "Qu'est ce que je fais maintenant?".

Soit je contacte Netvibes, je leur signale les problèmes, ils corrigent et personne n'en entend parler... Et les utilisateurs continueront de ne pas se soucier de leurs données personnelles.
Soit je crée ce blog pour essayer modestement à mon niveau de faire changer les choses :
- les utilisateurs doivent être beaucoup plus prudents sur leurs données personnelles.
- les développeurs des nouveaux sites dits "web 2.0" tels que Netvibes doivent mettre la sécurité en première place dans leur liste de priorités.

J'ai choisis la deuxième solution.

Donc à ce stade, je décide de créer ce blog. Et là, je me pose une question : "N'y aurait-il pas quelqu'un de l'équipe Netvibes dont j'aurais récupérer les infos ?"

  • Etape 4 :
On passe donc à l'étape suivante. Je fais donc une recherche sur le terme "@netvibes.com" dans les données que j'ai collectées et je trouve un utilisateur. C'est un des développeurs de Netvibes !
Donc je regarde et je vois qu'il utilise lui aussi des Webnotes comme nous tous, dans lequel il note des choses dont je n'aurais jamais pensé trouver : ces logins d'accès au site de développement et au wiki utilisés par les développeurs de Netvibes, ainsi qu'un login d'accès vers une base de données de sauvegarde où se trouve toutes les données des utilisateurs!!!
Non, vous ne rêvez pas! Moi aussi, j'ai eu du mal à le croire quand j'ai découvert ça !



  • Etape 5 :
En me baladant sur leur wiki, je découvre les futures évolutions de Netvibes (pas de grand scoop) :
- version mobile de Netvibes
- intégration des widgets Google
- partenariat avec de grande marques (Google, Aol, Skype, ...)
- création d'une communauté Netvibes avec gestion de profils et amis



J'ai de plus accès à toutes les sources des programmes php de Netvibes, ce qui pourrait me permettre de trouver encore plus de failles de sécurité !

Et enfin, j'ai accès à une base de données de sauvegarde qui contient login/mot de passe des utilisateurs. Les mots de passes sont codés en MD5 mais de nombreux sites tels que http://md5.c.la permettent de décoder certains de ces mots de passes. J'ai essayé, il y a environ un mot de passe sur cinq que j'arrive à décoder...
Le pire là dedans, c'est que la plupart des utilisateurs utilisent comme login et mot de passe Netvibes celui de leur compte mail Google ou autre (tout comme moi d'ailleurs!).


 

Bon, arrivé à ce stade en a peine quelques jours, je suis cette fois convaincu que mes données ne sont pas du tout en sécurité sur Netvibes et je vais aller changer immédiatement le mot de passe de mon compte Google !!!

Donc en résumé, voici la liste impensable des données que je suis capable de récupérer :
- emails / mot de passe de connexion à Netvibes
- liste des flux rss utilisés
- accès au compte mail si le login/mot de passe est le même que celui de Netvibes
- accès aux sources php de Netvibes

  • Conclusion
Je suis encore secoué par tout ce que j'ai pu découvrir et avec quelle facilité j'ai pu y parvenir !
Je le répète, mon intention n'est pas de nuire à Netvibes, ni aux utilisateurs. Je veux juste que les internautes se rendent compte que leurs données personnelles ne sont pas forcément en sécurité. Et il faut que les développeurs de ces nouveaux sites "web 2.0" se préoccupe en priorité de la sécurité des données de leurs utilisateurs.

Après la lecture de cet article, je conseille donc :
  • à Netvibes :
- de changer tout les logins d'accès à leurs sites de développement
- de former les développeurs sur la sécurité
- de supprimer tout leurs "Webnote" contenant des données confidentielles
- de bloquer tout les modules qui enregistre des logins et mot de passe de sites tiers tel que celui-ci : http://eco.netvibes.com/modules/14557/my-google-adsense
- de demander à tous leurs utilisateurs de changer le mot de passe de leur compte Netvibes, ainsi que leur compte email s'il est identique
- de me contacter afin que je leur donne la faille que j'ai utilisé afin de sécuriser Netvibes
  • aux utilisateurs :
- de changer régulièrement leurs mots de passe
- de ne pas saisir de données confidentielles dans leurs "Webnotes"
- de se montrer plus prudents sur ces nouveaux sites "Web 2.0", même aussi populaires que Netvibes, qui sont merveilleux à utiliser mais qui ne vous protègent pas tous encore contre le vol de données personnelles par des personnes malintentionnées...


J'espère que cet article va faire du "bruit" et qu'il contribuera à faire changer les choses. Je compte sur vous tous pour relayer l'information.

A Web 2.0 user...




LIEN
- http://www.scoopeo.com/securite/comment-jai-hacke-netvibes

[EDIT du Lundi - 16:00]
Voici le communiqué de NETVIBES à l'ensemble de la communauté NETVIBES au sujet de l'incident de ce week-end.
Je les félicite pour cette démarche de transparence même si je l'a trouve un tout petit peu tardive au regard du risque encourru par les utilisateurs. Il est a espéré que cette alerte sera relayée par un mail personnel.





[retour sur la homepage] [sommaire des news]


Commentaires / Comments

Pas de commentaires pour l'instant... / No comments for the moment

Ajouter un commentaire... / Add a comment...

Pseudo :
Email (optionnel) :  Pour être averti d'un nouveau post, mettez votre email (non visible)
Web (optionnel) :
Votre commentaire / Your comment (les balises HTML sont désactivées) :
[ Liste des Smileys ]
[Contrôle anti-flood et anti-spam activé]
Dans certains cas particuliers, il se peut que votre post ne soit pas pris
en compte après validation... Cela peut être normal.
Faites un retour en arrière, copiez alors votre texte, rechargez la page, puis collez et re-postez ;)
Respectez la casse (les MAJUSCULES)
Recopiez le code "Captcha" suivant :



contactez-moi | qui suis-je ? | expériences créatives | news | liens



 18 visiteurs sont connectés...
©2004-2005, Fusina Dominik - All rights reserved