Il m'en arrive des choses. Si si... Il faut que je vous raconte celle d'hier soir. Elle vaut son pesant de cacahuètes. L'espace d'une soirée, je suis devenu un "hacker" involontaire...
Introduction (ben oui, car il en faut bien une... :) )
Il y a quelques jours, j'ai décidé de me remettre un peu à la page côté "promotion photo". La plupart de mes contacts consultent mon compte
FLICKR ou encore mon blog dédié à mes travaux photos. J'utilise quotidiennement FACEBOOK pour mes actus et communiquer, mais je n'avais jamais franchi le cap de créer une page Fan Facebook. Jusqu'à ce début de semaine. Et dans la même logique, je me suis dit : "Ben tiens, pourquoi ne pas essayer
500PX. Une bonne partie de mon entourage a ouvert un compte sur ce site… alors à mon tour !"
J'ai donc créé mon compte il y a 3 jours de cela et suis ainsi devenu - le temps de la période d'essai de 15 jours - un
AWESOME user. Durant ce laps de temps, je verrai si j'adopte ou pas cette plateforme de stockage et de promotion d'images dont on me vante tant les mérites. (faut dire que Flickr ne bouge plus du tout... voir semble s'éteindre à petit feu.)
Durant 3 jours, j'ai alimenté
ce nouveau compte de quelques photos (7 plus exactement). J'ai commencé à me familiariser à l'interface, au concept. J'ai rempli mon profil sans toutefois trop le renseigner. Pour aller plus vite, j'ai validé ma connexion via la solution proposée par
500PX : "FACEBOOK Connect". Pour les non-initiés, cela consiste à utiliser une identification basée sur mon compte FACEBOOK actuel. J'utilise du coup les mêmes identifiants (ou même session) que celle de FACEBOOK et cela me permet de retrouver plus facilement mes amis contenus dans mon carnet d'adresse. Pratique. Oui… sauf que…
Comment craquer 500PX sans le vouloir...
Hier soir, j'ai décidé de vérifier mes statistiques. Je me connecte en validant ma connexion (via "FACEBOOK Connect") et me retrouve sur la page de
500PX qui m'affiche mon "flow". Etrange, je ne reconnais rien. N'étant pas très habitué à ce site, je relance un rafraichissement de la page et clique sur un autre onglet. Je m'étonne toujours de pas reconnaître ce que je vois. Alors je décide de visionner les paramètres de mon profil… et là , stupéfaction : je ne suis pas sur mon profil mais sur celui d'un autre utilisateur, un Indonésien.
Au bout de quelques minutes, je comprend que je suis confronté à un bug d'identification, probablement dû à l'utilisation d'une variable de session, ou un truc du genre. Je me prend à imaginer la probabilité d'un hack de mon propre compte : je tente un accès via mon URL direct et là , aucun doute, mon compte existe bel et bien. D'ailleurs un accès via un autre poste me donnera raison : j'arrive bien à accéder sur mon compte. Il est toujours là , indemne.
Soucieux de vérifier que cette faille découverte involontairement n'est pas un leurre, j'entreprend de tenter une modification du contenu. Et là , sans soucis, je vais pouvoir éditer les différentes informations, allant même jusqu'à inscrire dans la bio un texte expliquant ma mésaventure, texte que je ferai vérifier par un ami en lui demandant de consulter le compte dans lequel je me suis introduit de chez lui. Il confirme bel et bien mon intrusion.
Quelques minutes après, toujours médusé, je relance un chargement de ma page. Cette fois-ci, j'accède à un nouveau compte. Je peux une fois de plus tout parcourir et éditer le profil. Bien sûr, durant cette intrusion, j'ai effectué de nombreuses captures d'écran et réalisé des sauvegardes des pages HTML. On n'est jamais trop prudent.
Finalement, je vais finir par "casser" ma connexion en me déconnectant purement et simplement.
Cas isolé ou pas ?
Dans la foulée, je décide de prévenir
500PX et leur envoie un email d'avertissement, en leur expliquant ma mésaventure et leur signifiant que l'on se retrouve face Ã
une faille de sécurité très - pour ne pas dire extrêmement - préoccupante. Elle l'est d'autant plus que j'aurai pu, sans soucis, changer l'email, puis ensuite le mot de passe afin de m'approprier les comptes, les dits "comptes" qui sont - je le rappelle - pour la plupart payants ! Pire, d'un simple clic, une personne mal intentionnée aurait pu également les faire disparaître en les fermant définitivement. Sympa.
La réponse - rapide - délivrée par la team de 500PX me laisse perplexe :
-----------------------------------
500px Inc.
APR 20, 2012 Â |Â 04:33PM EDT
Hello Fusina,
It looks like we have had some issues with Facebook connect, logging in users to the wrong accounts. We are having our developers investigate this issue ASAP.
Should your require further assistance or help please let me know,
Diana from 500px
@detula
-----------------------------------
Selon eux, ils auraient eu un "soucis" provoqué par l'utilisation de la connexion FACEBOOK. Est-ce FACEBOOK les fautifs ou bien 500PX ? quoi qu'il en soit, cela m'a purement et simplement refroidi. C'est pas de chance : j'étais en version TRIAL et je me suis rendu compte que durant cette courte période on pouvait accidentellement - au bout de seulement 5 accès et 3 jours d'essai - craquer un ou plusieurs comptes utilisateurs ! Pas très rassurant.
Je n'imagine pas - et je tiens à insister là dessus - que je puisse être le seul sur la planète a avoir été le témoin (involontaire) de ce bug, même s'il était [pure supposition] limité dans le temps. Non, je ne peux le croire. Ou bien, je n'ai sincèrement pas eu de chance. Au contraire, je reste persuadé que cela a dû arriver à d'autres utilisateurs mais que personne n'en a fait écho. De mon point de vue, ce qui s'est passé est gravissime. Surtout sans explication logique ni même volonté de vouloir hacker un compte. Je rappelle que cela s'est produit sans manipulation particulière, tout simplement en me connectant à mon compte comme n'importe quel quidam.
Quid de la sécurité de l'information et des données personnelles ?
J'ai cherché à reproduire l'incident qui m'a permis de pénétrer ces comptes. Pour l'instant, je n'ai pas encore pigé même si j'ai quelques soupçons sur un enchainement probable de manipulation qui aurait permis d'arriver à ce résultat. Je n'ai qu'une théorie… non vérifiable. Plus étrange, 500PX ne m'a pas demandé d'explications détaillées à ce sujet (modus operandi ??). Etrange. Auraient-ils déjà été confrontés à ce genre d'incident ?
Pour l'instant, la team de "500PX" ne m'a pas apporté plus de précisions sur cet incident. A-t'il été temporaire ? Ou pas ? Plus inquiétant encore :
aucun utilisateur n'a reçu d'avertissement sur une possibilité d'intrusion de leur compte durant cette période.
NB : l'un des profils a disparu pour je ne sais quelle raison. Le second est quant à lui toujours actif.
D'autres en parlent...
- UNDERNEWS :
Une importante faille de sécurité sur le site de partage de photos 500PX
