Que se passe-t-il lorsque vous signalez une vulnérabilité à un site web et que ce dernier ignore parfaitement votre demande, et ce en dépit de l’existence d’un programme bug bounty censé rétribuer de telles découvertes ?
Certains pirates pourraient tout simplement s’en aller, mais un groupe de développeurs d’applications en Russie a choisi une toute autre approche. Ils ont profité de cette vulnérabilité pour spammer des milliers d’utilisateurs sur le plus grand réseau social de Russie.
Le groupe, appelé Bagosi, développe des applications qui fonctionnent sur VKontakte (VK), un réseau social basé à Saint-Pétersbourg, avec plus de 500 millions d’utilisateurs appartenant à l’entreprise Internet russe Mail.ru.
Selon ZDNet, le groupe a découvert une vulnérabilité dans le réseau social VK et a alerté les développeurs il y a un an déjà.
Dans un article publié sur VKontakte, Bagosi a expliqué que le réseau social VK avait ignoré le signalement de ce bug et n’avait pas payé la personne qui l’avait découvert et signalé, et l’avait pas non plus remercié d’une quelconque manière. Cette attitude est paradoxale étant donné que VKontakte a mis en place un programme bug bounty avec Hacker One. Le réseau social VK a déclaré à Sophos que le programme était actif depuis 2015 et avait distribué 250 000 dollars (environ 220 000€) de primes. Cependant, Hacker One nous a également dit que le programme VK était autogéré, signifiant ainsi que le réseau social gère les signalements de bugs en utilisant ses propres équipes internes plutôt que de s’appuyer sur les employés de Hacker One.
Bagosi a décidé de porter cette vulnérabilité à l’attention des utilisateurs de manière spectaculaire. Le groupe a écrit un article sur VK contenant un script qui s’activerait une fois visualisé. Le script en question a publié un lien vers le message au niveau de tous les groupes ou toutes les pages gérés par la victime.
Bagosi a utilisé des tactiques d’obfuscation, selon les explications fournies sur VK. Il a eu accès à des évaluations aléatoires de Google Play et à des titres aléatoires pour éviter les filtres anti-spam, a-t-il déclaré.
Clairement, le réseau social VK peut agir rapidement quand il le souhaite. Les développeurs de l’application ont lancé l’attaque le 14 février et le réseau social l’a contenue rapidement. Un porte-parole de VK a déclaré à Sophos :
Immédiatement après la découverte de la vulnérabilité, nous avons commencé à supprimer les publications indésirables. En 20 minutes, la vulnérabilité a été complètement corrigée.
Néanmoins, la page s’est rapidement répandue avant que VK ne bloque la vulnérabilité. Bagosi a expliqué dans un message sur VK :
La page a accumulé plus de 100 000 vues. Etant donné que VK ne prend en compte que des points de vue uniques, on peut en conclure qu’environ 140 000 personnes sont devenues des “victimes” de ce ver.
Le réseau social VK avait banni le compte du groupe sur le site web après avoir détecté le spam, mais est revenu en arrière après avoir constaté que le ver n’avait volé aucune donnée utilisateur.
Bagosi a déclaré avoir fait de son mieux pour signaler l’erreur, mais celle-ci avait été ignorée. Cela soulève la question suivante : est-il raisonnable de lancer une preuve de concept bénigne qui, comme vous le savez, se répandra largement et rapidement, afin d’attirer l’attention des utilisateurs sur une faille particulière, ou devriez-nous rester silencieux ?
Nous avons demandé à Dan Kaminsky ce qu’il en pensait. Kaminsky est sans doute le roi de la divulgation responsable, mieux connu pour avoir réussi à garder secrète une faille DNS majeure pendant des mois alors qu’il travaillait avec de grandes entreprises du web pour mettre au point un correctif. Il a déclaré :
Les preuves de concept bénignes ont tendance à ne pas manipuler réellement les systèmes de production. Celui-ci l’a fait. Cela ne la rend pas malveillante, mais si le but est de protéger les utilisateurs, les chercheurs pourraient se montrer plus amicaux.
Il y a un terrain d’entente qui n’implique pas de spammer des milliers de personnes pour faire valoir un point de vue.
Il a ajouté :
Pour conclure, ce type de conflits entre éditeurs et chercheurs ne va pas dans le sens de la sécurité des utilisateurs.
Billet inspiré de Virus attack! Hackers unleash social media worm after bug report ignored, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.