Alors que les « GAFA » encouragent régulièrement les chercheurs à reporter des vulnérabilités critiques contre rétribution, un chercheur est semble être allé trop loin pour Facebook, en s’introduisant dans les entrailles d’Instagram, sans aucune limite.
C’est un véritable scandale qui s’est produit, visant le service dédié au partage de photos sous forme de réseau social Instagram. Propriété de Facebook et de Mark Zuckerberg, il vient d’être mis à mal (et c’est peu dire) par un chercheur en sécurité, Wes Wineberg, que Facebook accuse maintenant d’être allé beaucoup trop loin dan ses recherches…
Et c’est peu dire quand on sait que ce dernier à réussi à s’inviter au cœur même du système, avec accès à 100% des données stockées, dont les identifiants d’utilisateurs et d’employés et différents fichiers de configuration, mais aussi les 82 instances de stockage Amazon S3, hébergeant le code source, les certificats SSL, les clés privées, celles liées aux API pour leur exploitation par des services tiers, l’ensemble du contenu statique du site web, les clés de signature pour les applications mobiles et surtout la totalité des photos et vidéos chargées par les utilisateurs dans le service.
Wes Wineberga a donc réussi un véritable coup de maître, qui a fortement déplu et fait peur à Facebook. Partant au départ d’une faille exploitable à distance dans la manière dont le site gérait les cookies des usagers (le jeton secret étant stocké en dur dans le code du site et le langage Ruby utilisé permettait l’exécution arbitraire de code), le chercheur à réussi à remonter petit à petit la chaîne vers le centre du réseau social, lui donnant accès à l’ensemble des données, quel que soit leur type. Un exploit, néanmoins très inquiétant.
Via les fichiers de configuration, il a pu remonter aux clés relatives aux comptes Amazon Web Services utilisés par le service Instagram : 82 au total. Arrivé à ce point, plus aucune limite existait pour le chercheur. Sur son blog, le chercheur explique que ces clés lui ont tout simplement permis d’obtenir tout le contenu d’Instagram, ce qui posait un sérieux problème :
« Avec les clés que j’ai obtenues, je pourrais tout à fait imiter Instagram, ou n’importe quel utilisateur valide ou membre du personnel. Bien que ce soit hors-sujet, j’aurais pu facilement obtenir l’accès complet à n’importe quel compte, image ou donnée d’un utilisateur ».
Les mots de passe sont pourtant chiffrées via bcrypt, Instagram n’ayant clairement pas choisi le premier algorithme venu pour sa sécurité. Mais comme indiqué par Wineberg, trop de comptes utilisent des mots de passe très faibles, et il lui a donc été facile d’en déverrouiller une douzaine rapidement.
Seulement voilà, Facebook considère que ce génie du décryptage est allé beaucoup trop loin dans son investigation. L’homme n’avait pas besoin d’aller jusqu’à accéder aux données des utilisateurs pour prouver l’existence de cette faille. Selon Alex Stamos, responsable de la sécurité chez Facebook, Wes Wineberg ne se serait pas satisfait des 2 500 dollars de récompense que lui aurait promis Facebook suite à sa découverte. Il aurait alors poussé son enquête jusqu’à mettre inutilement en danger les données personnelles des utilisateurs, espérant alors empocher le jackpot d’un million de dollars. Cela met en avant l’absence totale de cadre d’investigation pour les chercheurs à travers les programmes de type Bug Bounty…
Une chose est sûre, il semblerait que Wes Wineberg connaisse bien les conditions et règles du Bug Bounty indiquées sur le site de Facebook, qui ne précisent en aucun cas qu’un chercheur ne peut creuser plus loin à la recherche d’autres problèmes dès lors qu’il en a trouvé un premier. Il existerait donc un flou entre ce que Facebook pense vouloir imposer dans ses règles et ce qui est clairement indiqué, ce qui expliquerait sans doute le choc des deux visions. Il n’est donc pas impossible que ces conditions de participation changent rapidement.
En attendant, l’affaire reste tendue entre le géant Facebook et le chercheur… à suivre donc. En tout cas, cela semble être une situation délicate pour les plus de 400 millions d’utilisateurs inscrits sur Instagram ! L’enjeu est donc énorme puisque l’on parle tout de même de la sécurité des données privées de ces millions d’internautes, et de leurs photos.
Sources : EXFiLTRATED, Nexinpact
des clés dans S3 ?!
et KMS ??!!!
boulets….
Les commentaires sont fermés.