L’application Click to Pray du chapelet électronique eRosary du Vatican lancée avec une faille de type force brute

Objets Connectés

À un moment donné, la plupart des développeurs de logiciels se résignent à appuyer sur le bouton vert, en croisant les doigts et en priant, mais récemment, le Vatican est allé encore plus loin.

En effet, il a lancé son nouveau chapelet électronique, avec un bug logique à couper le souffle.

Décidant que le 21ème siècle pourrait être un endroit agréable à visiter, le Vatican a commencé par tester la toute nouvelle technologie portable (wearable) avec un chapelet électronique. Il s’appelle “Click to Pray eRosary“, et vise “les frontières périphériques du monde numérique où les jeunes résident” (le Vatican News le définit ainsi).

Les chapelets traditionnels sont des perles méditatives que vous utilisez pour compter plusieurs prières, et ils existent depuis au moins le 12ème siècle, selon les spécialistes. À porter comme un bracelet, la nouvelle version électronique, lancée le 15 octobre, prend vie lorsque les utilisateurs l’activent en effleurant sa croix tactile.

L’appareil à 110$ (environ 100€) se synchronise avec Click to Pray, l’application de prière officielle du Réseau Mondial de Prière du Pape. Elle suit les progrès de l’utilisateur lorsqu’il récite différents ensembles de prières thématiques. Et, elle suit également vos pas pour ceux qui veulent exercer à la fois leur corps et leur esprit.

Malheureusement, il semble que les saints développeurs de logiciels soient aussi faillibles que la plupart d’entre nous. Deux chercheurs ont remarqué des failles au niveau de Click to Pray qui divulgueraient des données sensibles.

Fidus Information Security a dévoilé dans un article de blog récemment une faille de type force brute dans le mécanisme d’authentification de l’application. Il vous permet de vous connecter via Google et Facebook, aucun problème à ce niveau, mais c’est l’alternative proposée qui est à l’origine du problème : un accès avec un code PIN à quatre chiffres.

Lorsqu’un utilisateur réinitialise son compte à l’aide de l’application Click to Pray, il utilise une interface de programmation d’application (API) pour envoyer la demande au serveur, qui envoie ensuite le code PIN par email à l’utilisateur. Le serveur renvoie également le code PIN dans sa réponse à la demande faite par l’API, signifiant ainsi qu’une personne accédant directement à l’API pourrait obtenir le code PIN de l’utilisateur sans avoir nécessairement accès à ses emails.

Fidus a déclaré :

Armés de cela, nous pouvons simplement nous connecter à l’application avec le code PIN fourni compromettant ainsi le compte avec un minimum d’efforts. Le compte en question contient : Avatars, numéros de téléphone, taille, poids, sexe et date de naissance.

Il existe également un autre problème avec le système, a expliqué la société : l’API ne limite pas le nombre de tentatives que vous pouvez lancer pour vous connecter avec le code PIN. Comme nous parlons ici de caractères numériques plutôt que de caractères alphanumériques, cela correspond à 10^4, ou 10 000 tentatives. Un simple script Python pourrait limiter rapidement le nombre de tentatives autorisées.

L’expert cybersécurité Baptiste Robert (alias Elliot Alderson) a également découvert et signalé le bug, tweetant de manière responsable après que le Vatican ait publié un correctif :

Le Père Robert R.Ballecer, prêtre au Vatican, l’a remercié publiquement :

Le Vatican et ses développeurs ont agi assez rapidement pour résoudre les problèmes lorsque Fidus les a contactés, bien qu’ils aient mis en place une solution plutôt surprenante. En effet, plutôt que de supprimer simplement le code PIN de la réponse de l’API, ils l’ont simplement allongé, doublant ainsi le nombre de chiffres en le faisant passer à huit.

Fidus a répondu :

Il ne semble pas y avoir de corrélation directe entre le nouveau code confidentiel à 8 chiffres et le code confidentiel valide à 4 chiffres envoyé par courrier électronique. Il est probable que les données renvoyées ne soient pas aléatoires mais plutôt obfusquées, bien qu’il n’ait pas encore été possible de procéder à l’ingénierie inverse de l’algorithme utilisé … pour le moment du moins.

Un porte-parole du Vatican aurait également déclaré que cette faille de type force brute aurait effectivement été résolue.


Billet inspiré de Vatican launches smart rosary – complete with brute-force flaw, sur Sophos nakedsecurity.

1 Commentaire

Bonjour. Je vous conseillerez plutôt un “chat-pelé à la tondeuse;” cela remplacera très bien le chapelet électronique. Mais ATTENTION! à ne SURTOUT pas mettre le chat-pelé autour de votre coup! car il se pourrait que votre face en soit grillagée de quelques coups de griffes! un chat dans sa nature première est très solitaire; mais un chat qui par la suite aurait-été pelé, alors là il vous en coûtera quelques coups de pattes volontaires vous accompagnant plus longuement….

Reply

Leave a Reply

Your email address will not be published.