En effet, il a lancé son nouveau chapelet électronique, avec un bug logique à couper le souffle.
Décidant que le 21ème siècle pourrait être un endroit agréable à visiter, le Vatican a commencé par tester la toute nouvelle technologie portable (wearable) avec un chapelet électronique. Il s’appelle “Click to Pray eRosary“, et vise “les frontières périphériques du monde numérique où les jeunes résident” (le Vatican News le définit ainsi).
Les chapelets traditionnels sont des perles méditatives que vous utilisez pour compter plusieurs prières, et ils existent depuis au moins le 12ème siècle, selon les spécialistes. À porter comme un bracelet, la nouvelle version électronique, lancée le 15 octobre, prend vie lorsque les utilisateurs l’activent en effleurant sa croix tactile.
L’appareil à 110$ (environ 100€) se synchronise avec Click to Pray, l’application de prière officielle du Réseau Mondial de Prière du Pape. Elle suit les progrès de l’utilisateur lorsqu’il récite différents ensembles de prières thématiques. Et, elle suit également vos pas pour ceux qui veulent exercer à la fois leur corps et leur esprit.
Malheureusement, il semble que les saints développeurs de logiciels soient aussi faillibles que la plupart d’entre nous. Deux chercheurs ont remarqué des failles au niveau de Click to Pray qui divulgueraient des données sensibles.
Fidus Information Security a dévoilé dans un article de blog récemment une faille de type force brute dans le mécanisme d’authentification de l’application. Il vous permet de vous connecter via Google et Facebook, aucun problème à ce niveau, mais c’est l’alternative proposée qui est à l’origine du problème : un accès avec un code PIN à quatre chiffres.
Lorsqu’un utilisateur réinitialise son compte à l’aide de l’application Click to Pray, il utilise une interface de programmation d’application (API) pour envoyer la demande au serveur, qui envoie ensuite le code PIN par email à l’utilisateur. Le serveur renvoie également le code PIN dans sa réponse à la demande faite par l’API, signifiant ainsi qu’une personne accédant directement à l’API pourrait obtenir le code PIN de l’utilisateur sans avoir nécessairement accès à ses emails.
Fidus a déclaré :
Armés de cela, nous pouvons simplement nous connecter à l’application avec le code PIN fourni compromettant ainsi le compte avec un minimum d’efforts. Le compte en question contient : Avatars, numéros de téléphone, taille, poids, sexe et date de naissance.
Il existe également un autre problème avec le système, a expliqué la société : l’API ne limite pas le nombre de tentatives que vous pouvez lancer pour vous connecter avec le code PIN. Comme nous parlons ici de caractères numériques plutôt que de caractères alphanumériques, cela correspond à 10^4, ou 10 000 tentatives. Un simple script Python pourrait limiter rapidement le nombre de tentatives autorisées.
L’expert cybersécurité Baptiste Robert (alias Elliot Alderson) a également découvert et signalé le bug, tweetant de manière responsable après que le Vatican ait publié un correctif :
I hacked The Vatican’s app. I contacted them and we fixed the issue together.
It was a fun hacking night. https://t.co/9d7DUyZKdL
— Elliot Alderson (@fs0c131y) October 19, 2019
Le Père Robert R.Ballecer, prêtre au Vatican, l’a remercié publiquement :
Elliot found a vulnerability in a newly-released app loosely connected to my office.
He was persistent in finding somebody in the Vatican with whom he could discuss his findings.
He was patient with our dev team.
He provided everything we needed to fix the vulnerability. https://t.co/CVn07tOEDF
— Fr. Robert R. Ballecer, SJ (@padresj) October 18, 2019
Le Vatican et ses développeurs ont agi assez rapidement pour résoudre les problèmes lorsque Fidus les a contactés, bien qu’ils aient mis en place une solution plutôt surprenante. En effet, plutôt que de supprimer simplement le code PIN de la réponse de l’API, ils l’ont simplement allongé, doublant ainsi le nombre de chiffres en le faisant passer à huit.
Fidus a répondu :
Il ne semble pas y avoir de corrélation directe entre le nouveau code confidentiel à 8 chiffres et le code confidentiel valide à 4 chiffres envoyé par courrier électronique. Il est probable que les données renvoyées ne soient pas aléatoires mais plutôt obfusquées, bien qu’il n’ait pas encore été possible de procéder à l’ingénierie inverse de l’algorithme utilisé … pour le moment du moins.
Un porte-parole du Vatican aurait également déclaré que cette faille de type force brute aurait effectivement été résolue.
Billet inspiré de Vatican launches smart rosary – complete with brute-force flaw, sur Sophos nakedsecurity.