Comment votre compte Flickr s’est retrouvé rempli de photos !

Réseaux sociaux

Un lycéen a trouvé un bug sur Flickr qui aurait permis à un cybercriminel d’uploader facilement des images et des vidéos, en remplissant ainsi votre compte Flickr avec son propre contenu !

compte flickr

Flickr, le site géant de partage de photos en ligne, vous permet d’envoyer des photos par email sur votre compte. Ainsi, vous avez votre propre adresse personnelle pour envoyer du contenu directement sur votre compte Flickr, depuis votre smartphone ou votre logiciel de messagerie.

Mais avant que Yahoo ne corrige le tir, un lycéen, qui cherchait à savoir comment tout cela fonctionnait, a découvert que l’application retraitait ces adresses email, liées aux comptes, en utilisant un petit dictionnaire bien étouffé, qui pouvait au final servir de véritable « guide pour les nuls » en matière d’attaques par force brute.

Un cybercriminel aurait pu l’exploiter en uploadant facilement des images et des vidéos, et en remplissant des comptes Flickr avec son propre contenu, orienté spam,  pornographie, troll, ou encore tout ce que vous pouvez imaginer d’autre.

La découverte vient de Jazzy, un lycée passionné par la cybersécurité. Il a déclaré dans un article de blog publié jeudi dernier, qu’il avait signalé le bug dès sa vérification. Yahoo (propriétaire de Flickr) l’a rapidement corrigé, et Jazzy a reçu une prime bounty de 4000 $ pour ses efforts.

Jazzy s’amusait avec Flickr depuis environ 30 minutes quand il est tombé sur la fonctionnalité qui vous permet d’envoyer des photos sur votre compte flickr en envoyant un email à une adresse spécifique.

Hmmm, songea Jazzy, que se passerait-il si un cybercriminel pouvait trouver les emails utilisés pour chaque compte ? Vous n’avez même pas besoin d’un mot de passe pour uploader des photos et des vidéos sur les comptes de potentielles victimes.

Il n’a pas à trouver un moyen de faire fuiter ces adresses email par le système lui-même, mais il a trouvé un bouton pour changer l’adresse email et en obtenir une nouvelle. Ainsi, il a cliqué dessus, et boum !, il a instantanément obtenu une nouvelle adresse email. Il l’a fait de nouveau, et encore une fois, et encore, et enfin Jazzy a commencé à voir se dessiner un modèle.

Cela ressemblait à ceci :

[Random dictionary word][Random number 0-100][Random Dictionary word]@photos.flickr.com

Jazzy a remarqué que la longueur du mot du dictionnaire était toujours inférieure à 6 caractères. C’est alors que l’idée de traiter l’adresse par force brute lui est venue. Il ne s’attendait pas à ce que son idée fonctionne, il pensait que Flickr utiliserait un dictionnaire plus conséquent, un qui rendrait toute tentative pour véritablement deviner une adresse email impossible. Il a quand même fait un test : il a lancé un script Python qui a changé son adresse email encore, encore et encore, et a ensuite attendu !

Il a paramétré le script pour qu’il s’exécute toute la nuit et le lendemain matin, Flickr avait retourné environ 20 000 adresses email. Il a créé un script rapide pour trier les adresses, et a trouvé que seulement 935 mots différents étaient utilisés pour chacune d’entre elles.

En fait, cela a fait tilt dans ma tête. Sur 23 000 adresses email, seulement 935 mots différents ont été utilisés. Ma réaction a été immédiate, … « QUOIIIIIIII !!! ».  

Selon ses calculs, si Jazzy générait lui-même des adresses email à partir de la permutation des mots du dictionnaire qu’il aurait énumérés les uns après les autres, un email sur deux aurait un email Flickr valide : il avait plus de 50% de chances de générer un email valide.

Un cybercriminel pourrait exploiter cette situation assez efficacement, a déclaré Jazzy :

Nous pourrions générer les 87,5 millions d’emails, puis écrire un script qui enverrait un message à chacun de ces emails. Flickr ne vérifie pas d’où vient l’email, donc nous pouvons envoyer des emails à partir de n’importe quelle adresse aléatoire et être en mesure de réaliser les uploads.  

Il ne faut pas plus de 3 heures pour envoyer 87,5 millions d’emails en utilisant un script multithread et un peu de puissance. Et nous pouvons même envoyer un seul email à plusieurs adresses via CC/BCC, ce qui réduirait encore le nombre de messages à envoyer.  

Maintenant, en exploitant cela, un cybercriminel peut facilement uploader des photos et des vidéos sur n’importe quel compte Flickr.  

Jazzy a signalé le bug dès qu’il l’a vérifié. Yahoo, à son crédit, l’a marqué comme P1, à savoir un bug critique qui a besoin d’une solution immédiate. Et c’est ce que ce bug découvert par Jazzy a obtenu : une solution rapide !

Donc, en attendant le prochain P1, nous pouvons remercier Jazzy pour avoir évité que nos comptes Flickr ne soient saturés avec les « déchets » des autres. Merci, Jazzy !


Billet inspiré de How anyone could have stuffed your Flickr account with photos, sur Sophos nakedsecurity.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s