Netvibes hacké ! #
Ce blogueur (site supprimé) nous expliquait comment, en créant un module Netvibes, il a réussi à s'introduire dans l'arrière boutique du site et a avoir accès aux identifiants des utilisateurs :
Bonjour,
Tout d'abord, mon but n'est pas de nuire à Netvibes, ni à ses employés et ni à ses utilisateurs.
Mon but est de démontrer que de nombreuses applications web 2.0 dont Netvibes ne protègent pas assez les données personnelles des utilisateurs.
Je suis un utilisateur de Netvibes depuis ces débuts et j'adore cette application. C'est une sorte de bureau sur le web qui permet de regrouper dans une interface ses mails, ses flux rss préférés, son calendrier perso, des post-it, et beaucoup d'autres choses : c'est une petite partie de sa vie privée auquelle on peut accéder depuis n'importe quel ordinateur (et téléphone depuis peu...) relié au web.
Je me suis donc posé la question : "Est-ce que toutes mes données sont réellement en sécurité sur Netvibes ?".
Et la réponse est NON !
Pour être bref, j'ai eu accès aux données personnelles de plusieurs milliers d'utilisateurs, leurs mot des passes, à leur compte Google, ... et pour finir, j'ai aussi eu accès au site utilisé par l'équipe de Netvibes pour développer notre site favori.
Je vais vous avouer que le premier soir où j'ai découvert tout ça, j'ai eu beaucoup de mal à trouvé le sommeil. Car si mon intention n'est pas d'exploiter ces données, ce n'est pas le cas de tout le monde sur le web. Donc si j'ai pu accéder à toutes ces données, pourquoi pas d'autres ?
Je vais donc vous décrire comment j'ai pu accéder à ces données, mais sans rentrer dans les détails, ni donner d'informations techniques afin que personne ne puisse nuire aux utilisateurs avant que Netvibes prenne des mesures nécessaire pour résoudre ces problème de sécurité.
- Etape 1 :
Cette étape de validation doit sûrement leur servir à vérifier que le module n'affiche pas de contenus illicites, ou qu'il ne gêne pas le bon fonctionnement de Netvibes.
Le premier problème que j'ai constaté est que le module peut être totalement remodifié par son développeur sans aucune étape de revalidation de la part de Netvibes...
- Etape 2 :
Je suis même capable avec mon module "modifié" de supprimé tout les flux rss et les modules de l'utilisateur ou de remplacer certains modules par d'autres, de modifier le titre de sa page personnelle,... => Je peux donc complètement "hacké" la page d'un utilisateur ayant ajouté mon module.
A cette étape, je n'ai pas encore trouvé le moyen de récupérer le mot de passe utilisé pour se connecter à son compte Netvibes (ça va venir un peu plus loin...).
Les données que j'ai pu récupérer à ce stade sont :
- Les emails des utilisateurs utilisés pour se connecter à leur compte Netvibes => je pourrais utiliser cette liste d'emails pour spammer.
- La liste de tous leurs flux rss affichés dans Netvibes => je pourrais donc spammer les utilisateurs en fonction de leurs loisirs, intérêts personnels, leurs sites préférés...
- La liste de tous leurs calendriers, même personnel utilisés dans les modules Ical, ou Google Calendar.
- Les libellés des mails GMail (je n'ai pas essayé avec les autres mais ça doit aussi marcher) issu du flux https://mail.google.com/mail/feed/atom
- Tous les paramètres de configuration des modules. C'est particulièrement dangereux dans le cas de ce module par exemple : http://eco.netvibes.com/modules/14557/my-google-adsense
Il permet d'afficher son compte adsense dans Netvibes. Il m'est donc possible d'avoir les comptes d'accès à Adsense de ces personnes. Il en ait de même pour tout les modules accédant à des sites tiers ayant besoin de s'authentifier et où les logins d'accès sont paramétrés dans les modules.
- Les notes saisies dans les bloc-notes ("Webnote"). On n'imagine même pas tout ce que peuvent noter les utilisateurs : login/mot de passe d'accès à divers comptes sites.
Bon, à ce stade, j'arrive à récupérer une multitude d'informations personnelles, ainsi que des logins vers des sites tels que Google Adsense et autres...
- Etape 3 :
Soit je contacte Netvibes, je leur signale les problèmes, ils corrigent et personne n'en entend parler... Et les utilisateurs continueront de ne pas se soucier de leurs données personnelles.
Soit je crée ce blog pour essayer modestement à mon niveau de faire changer les choses :
- les utilisateurs doivent être beaucoup plus prudents sur leurs données personnelles.
- les développeurs des nouveaux sites dits "web 2.0" tels que Netvibes doivent mettre la sécurité en première place dans leur liste de priorités.
J'ai choisis la deuxième solution.
Donc à ce stade, je décide de créer ce blog. Et là, je me pose une question : "N'y aurait-il pas quelqu'un de l'équipe Netvibes dont j'aurais récupérer les infos ?"
- Etape 4 :
Donc je regarde et je vois qu'il utilise lui aussi des Webnotes comme nous tous, dans lequel il note des choses dont je n'aurais jamais pensé trouver : ces logins d'accès au site de développement et au wiki utilisés par les développeurs de Netvibes, ainsi qu'un login d'accès vers une base de données de sauvegarde où se trouve toutes les données des utilisateurs!!!
Non, vous ne rêvez pas! Moi aussi, j'ai eu du mal à le croire quand j'ai découvert ça !
- Etape 5 :
- version mobile de Netvibes
- intégration des widgets Google
- partenariat avec de grande marques (Google, Aol, Skype, ...)
- création d'une communauté Netvibes avec gestion de profils et amis
J'ai de plus accès à toutes les sources des programmes php de Netvibes, ce qui pourrait me permettre de trouver encore plus de failles de sécurité !
Et enfin, j'ai accès à une base de données de sauvegarde qui contient login/mot de passe des utilisateurs. Les mots de passes sont codés en MD5 mais de nombreux sites tels que http://md5.c.la permettent de décoder certains de ces mots de passes. J'ai essayé, il y a environ un mot de passe sur cinq que j'arrive à décoder...
Le pire là dedans, c'est que la plupart des utilisateurs utilisent comme login et mot de passe Netvibes celui de leur compte mail Google ou autre (tout comme moi d'ailleurs!).
Bon, arrivé à ce stade en a peine quelques jours, je suis cette fois convaincu que mes données ne sont pas du tout en sécurité sur Netvibes et je vais aller changer immédiatement le mot de passe de mon compte Google !!!
Donc en résumé, voici la liste impensable des données que je suis capable de récupérer :
- emails / mot de passe de connexion à Netvibes
- liste des flux rss utilisés
- accès au compte mail si le login/mot de passe est le même que celui de Netvibes
- accès aux sources php de Netvibes
- Conclusion
Je le répète, mon intention n'est pas de nuire à Netvibes, ni aux utilisateurs. Je veux juste que les internautes se rendent compte que leurs données personnelles ne sont pas forcément en sécurité. Et il faut que les développeurs de ces nouveaux sites "web 2.0" se préoccupe en priorité de la sécurité des données de leurs utilisateurs.
Après la lecture de cet article, je conseille donc :
- à Netvibes :
- de former les développeurs sur la sécurité
- de supprimer tout leurs "Webnote" contenant des données confidentielles
- de bloquer tout les modules qui enregistre des logins et mot de passe de sites tiers tel que celui-ci : http://eco.netvibes.com/modules/14557/my-google-adsense
- de demander à tous leurs utilisateurs de changer le mot de passe de leur compte Netvibes, ainsi que leur compte email s'il est identique
- de me contacter afin que je leur donne la faille que j'ai utilisé afin de sécuriser Netvibes
- aux utilisateurs :
- de ne pas saisir de données confidentielles dans leurs "Webnotes"
- de se montrer plus prudents sur ces nouveaux sites "Web 2.0", même aussi populaires que Netvibes, qui sont merveilleux à utiliser mais qui ne vous protègent pas tous encore contre le vol de données personnelles par des personnes malintentionnées...
J'espère que cet article va faire du "bruit" et qu'il contribuera à faire changer les choses. Je compte sur vous tous pour relayer l'information.
A Web 2.0 user...
dimanche 4 février 2007 à 19:49
Ces enfoirés ont du faire pression pour qu'il retire le billet :@
Ils ont l'air vachement sympa chez netvibes... x
Par
kenny, le 04/02/07 21:57
tariq@netvibes.com...
C'est pas le boss de netvibes tariq Krim ? x
Par
pulp, le 04/02/07 22:05
Très jolie investigation. Qui fait froid dans le dos.
Pour les mots de passe md5, ils auraient du utiliser une technique connue :
Le site md5.c.la est un enorme index inverse de md5 => mot. Si le mot est listé dans la base (genre un nom courant, ou avec une legre variation) ils sera trouvé tout de suite. Une astuce consiste à enregistrer non pas directement le hash md5 du mot de passe mais du mot de passe combiné à un préfixe constant secret (appelé grain de sable), genre 'netvibes13542353'. Il est alors très peu probable de la concaténation résultante soit présente dans cet annuaire inversé. x
Par Raphael Jolivet, le 04/02/07 22:20
a ta place, je retirerai la note, tu risque gros en publiant ça, c'est du hacking !! x
Par , le 04/02/07 22:31
C'est pas du hacking mais de l'information, tapette! x
Par Kenny, le 04/02/07 22:43
tariq@netvibes.com...
C'est pas le boss de netvibes tariq Krim ?
ça parrait gros quand meme !! x
Par , le 04/02/07 23:00
Merci d'avoir fait une copie de l'article ;) x
Par , le 04/02/07 23:01
L'info est reportée chez moi aussi.
S'il ne faut pas générer une attaque de "black hats" sur netvibes, il ne faut pas non plus que l'info s'évanouisse avant d'avoir été buzzée ! x
Par Zephir, le 04/02/07 23:02
Enorme. Il en faut de la sagesse pour lacher un tel pouvoir. x
Par , le 05/02/07 03:17
J'en connais un qui va avoir des problèmes :-P C'est bien beau de jouer les redresseurs de torts, mais à la base il s'est introduit illégalement dans un système informatique. C'est un peu facile d'hacker un système puis, une fois qu'on se rend compte qu'on est pas capable d'effacer ses traces, de dire "oui, en fait je voulais dénoncer les problèmes de sécurité du web 2.0". Si quelqu'un parvient à rentrer chez moi grace à une faille du système d'alarme, il a intérêt à trouver une meilleure excuse ;-) x
Par , le 05/02/07 06:59
Ba c'est sûr que s'il fait "oui, j'ai contourné le système d'alarme, mais c'était pour dénoncer les problèmes de sécurité du web2.0", ça ne va pas le faire :p.
J'ai lu très rapidement le message, je trouve que ce qui est "gros" dans l'histoire c'est que Netvibes ne revérifie pas les modules lors d'un changement.
Sinon, joli exploit quand même, mais il faut espérer que ça ne ternira pas trop non plus l'image de netvibes, qui est un bon service. x
Par wullon, le 05/02/07 10:06
Merci pour l'info j'ai relayé aussi. Il est vrai que beaucoup de gens mettent en garde le fait que les sitse 2.0 ne seraient pas assez sécurisés. x
Par Fred, le 05/02/07 10:41
Il y a quand meme quelque choses de bizarre entre l'étape 2 et l'étape 3.
Je sais que netvibes à plsu d'un million d'utilisateur, mais j'aimerais bien savoir combien on décidé d'utiliser ton module, puisque aparement tu ne récupére les données que des utilisateur ayant installé ton module... Coup de bol donc que tu es récupéré parmi ces utilisateur le fondateur de netvibes... Mais je m'étonne d'ailleurs grandement qu'un informaticien aussi talentueux que Tariq puisse laisser des login et mot de passe dans son webnote...
Au fait peux tu donner le nom de ton module? pour que l'on puisse vérifier ce que tu dis??? x
Par jeremy, le 05/02/07 11:04
La réponse de netvibes x
Par , le 05/02/07 13:01
Ouais, bref c est même pas un vrai hack. Le mec a choppe un login et mot de passe pour une base de donnes de dev et ensuite il se fait mousser mais retire son billet en se rendant compte de sa connerie. Elle est cool la reponse de netvibes, car au lieu de faire enterrer cette affaire ils prennent le temps de donner des explications et des amelioration. x
Par , le 05/02/07 14:08
Voir le blog de netvibes :
http://blog.netvibes.com/?2007/02/05/119-security-update-in-3rd-parties-modules-on-the-ecosystem x
Par ALeXiS, le 05/02/07 14:19
Le même en francais:
http://blog.netvibes.com/fr/index.php/2007/02/05/19-mise-a-jour-de-securite-dans-les-modules-tiers-de-l-ecosysteme x
Par , le 05/02/07 14:29
Meme pas un vrai hack ? Ca exploitait une faille de sécurité serieuse parceque les modules peuvent accéder facilement aux autres modules de la page, et que netvibes était assez laxiste par rapport aux modules qu'ils acceptent sur leur ecosysteme, je vois pas ce qu'il te faut de plus pour considerer ca comme un hack...
Après, il a eu du bol plusieurs fois de suite dans l'affaire, et quelqu'un chez netvibes s'est fait avoir comme un débutant, mais ca reste une bonne grosse faille, à la base; il aurait pu faire des dégats bien plus graves si il n'avait rien révélé AMHA...
Il ya une lecon à tirer de tout ca: faites gaffe :) x
Par , le 05/02/07 14:31
le pire c'est quand meme qu'en se penchant sur chaque site internet, meme les pluis connus, on peut trouver toutes sortes de boulettes.. car beaucoup de sites ont été conçus à la va vite..
à bon entendeur.. x
Par titlap, le 05/02/07 14:37
En fait c'est même pas de la chance il a récup le login du gars chez netvibes qui s'occupe de tester les modules (et qui a forcément installé son module).
Le coup de chance c'est que ce développeur utilisait webnote pour y conserver ses logins. x
Par , le 05/02/07 15:34
Je trouve super dommage que ce blogueur ait donné ces informations publiquement au lieu de les partager avec Netvibes directement! Il dit ne pas vouloir faire de mal au service alors qu'en fait il fait exactement le contraire! Pas très fair play tout ça... x
Par , le 06/02/07 09:43
NetQuoi ? x
Par , le 06/02/07 14:28
ca a du être un choix dur pour lui, ou ils nous avertissaient ou il en discutait directement avec netvibes. S'il ne les partageait pas avec nous je pense que cette histoire aurait été vite oubliée. Il a eu raison de sensibiliser les utilisateurs de sites web 2.0 ! Car en s'attaquant à Netvibes il a montré que même les plus grands ont des petites failles...SERIEUSES. Pour ma part j'ai enlevé tous les modules 'hotmail' et 'gmail', le webnote m'a fait peur dès le début..je l'utilise juste comme post-it en ligne ! Et puis pour plus de sécurité j'utilise un mot de passe pour les messageries, un autre pour tous les sites tels que netvibes, facebox, et compagnies et encore plein d'autres selon les catégories. Nous devons vraiment comprendre que si les sites web 2.0 ont besoin de nos informations personnelles pour mieux nous satisfaire, nous devons à notre tour mieux les protéger ! Mesdames et messieurs, bienvenue dans le monde 2.0 : là où on peut tout savoir de vous ! x
Par , le 07/02/07 11:03
en réponse à : "Je trouve super dommage que ce blogueur ait donné ces informations publiquement au lieu de les partager avec Netvibes directement! Il dit ne pas vouloir faire de mal au service alors qu'en fait il fait exactement le contraire! Pas très fair play tout ça..."
au contraire c'est tout à fait l'idée du Libre, en décrivant son mode d'action (et non comment coder un module malveillant) il informe ET Netvibes ET ces utilisateurs, ce qui est on ne peut plus honnête. s'il n'avait informé que les developpeurs de Netvibes, d'autres sites qui proposent le même service auraient pût tomber aussi dans cette erreur en répétant sans le savoir la même faille de sécurité.
divulguer une faille n'est pas pousser à son exploitation mais au contraire pousser à sa correction.
c'est le choix le plus logique et le plus sain,
merci au bloggeur anonyme :) x
Par Amo, le 30/03/07 22:53
Je pense que l'intérêt le plus important, et de loin, reste celui des utilisateurs bien avant celui des éditeurs responsables du manque de sécurité...
Si mes données ne sont pas en sécurité, j'ai envie de le savoir !
Quelle blague ce côté "fair-play" évoqué plus haut !!
Donc merci pour ces infos. x
Par , le 14/04/07 19:41
Je pense que l'intérêt le plus important, et de loin, reste celui des utilisateurs bien avant celui des éditeurs responsables du manque de sécurité...
Si mes données ne sont pas en sécurité, j'ai envie de le savoir !
Quelle blague ce côté "fair-play" évoqué plus haut !!
Donc merci pour ces infos. x
Par , le 14/04/07 19:41
En tant que co-webmaster de www.md5.c.la, je confirme que de plus en plus de personnes commencent à s'intéresser au crackage/bruteforcage de cet algorithme. Il commence donc à devenir insuffisant face aux méthodes employées par les hacker. La technique du "gain de sable" évoquée plus haut est en effet une alternative assez simple et efficace.
Pour terminer, je ne sais pas si l'intention de notre cher hacker était ici de réellement démontrer un relâchement dans la sécurisation des nouvelles technologies ou bien de camoufler un véritable piratage. Mais il n'en reste pas moins que c'était un beau geste que de faire connaître la faille aux développeurs de Netvibes. x
Par Nowan190, le 21/04/07 01:23
Attention de pas conffondre cracker ou cracké et Hacker et hacké : les hacker sont payés pour trouvé les failles informatiques de certains sites web ou logiciels alors que les cracker nuisent a internet et au logiciels . x
Par , le 24/06/07 13:42
Voila je me suis penchée 5 minutes sur l'article super intelligent d'ailleurs d'avoir pu trouver des failles, ça peut reveiller plus d'un esprit.
Je laisse mon adresse msn car j'ai un enorme probleme niveau securité si le redacteur de ce post pouvait m'ajouter a ces contacts et m'aider je lui en serais eternellement reconnaissant.
SAbiou
guesswomanjetm@hotmail.com
Merci d'avance x
Par , le 13/07/07 01:38
Bonjour,
Je viens de lire ce message qui n'est pas récent d'ailleurs et je voudrais juste rajouter un commentaire. Toutes les applications du dite du Web2.0, c'est à dire, toutes les applications qui intègrent des contenus dynamiques ne sont pas sécurisées. Dès qu'il y a un flux RSS, il y a risque et le risque est encore plus grand avec les Widgets, ou modules... qui sont développées par des tiers.
Le Web c'est comme la vie, ça n'a jamais été et ça ne sera jamais sur et sécurisé.
Ciao
Mathieu x
Par , le 17/03/08 19:27
C'est qui ce netvibes?? x
Par Mathieu Fabre - Chef de publicité interactif, Leo Burnett-ARCWW Madrid, le 25/02/09 02:35