Un chercheur hacke le flux payant de la conférence Black Hat
Un serpent, une queue, des dents
Michael Coates, chercheur en sécurité chez Mozilla, a découvert pendant la conférence de sécurité Black Hat qui se déroulait la semaine dernière à Las Vegas une faille dans le processus d'enregistrement au flux vidéo live... Faille qui permettait de le regarder sans payer les 395 dollars demandés.
Il ne l'a révélée qu'après qu'elle a été corrigée, démontrant une attitude de divulgation des bugs très responsable, que Google aurait appréciée.
En pratique, c'est en tentant de s'enregistrer qu'il a remarqué des problèmes de design sur la page, qui l'ont conduit à réaliser que seul un mail était indispensable pour s'enregistrer. Il n'a pas reçu de mail de validation (logique), mais armé de son adresse mail et d'une clé, il a trouvé par Google une page de connexion à la conférence « d'aspect standard » qui acceptait de le laisser accéder au flux vidéo.
Pour signaler la faille, il a essayé d'appeler et d'envoyer des mails à la Black Hat, mais en pleine conférence il n'a réussi à contacter personne. C'est en se renseignant sur Twitter qu'il a réussi à prendre contact avec un représentant du sous-traitant à qui la Black Hat avait confié l'application vidéo. Après s'être fait expliquer la procédure permettant d'exploiter la faille, il leur a fallu quatre heures pour corriger le bug. Pour le remercier, ils lui ont offert un compte pour se connecter au flux.
De cette affaire, Michael Coates tire plusieurs conclusions :
Il ne l'a révélée qu'après qu'elle a été corrigée, démontrant une attitude de divulgation des bugs très responsable, que Google aurait appréciée.
En pratique, c'est en tentant de s'enregistrer qu'il a remarqué des problèmes de design sur la page, qui l'ont conduit à réaliser que seul un mail était indispensable pour s'enregistrer. Il n'a pas reçu de mail de validation (logique), mais armé de son adresse mail et d'une clé, il a trouvé par Google une page de connexion à la conférence « d'aspect standard » qui acceptait de le laisser accéder au flux vidéo.
Pour signaler la faille, il a essayé d'appeler et d'envoyer des mails à la Black Hat, mais en pleine conférence il n'a réussi à contacter personne. C'est en se renseignant sur Twitter qu'il a réussi à prendre contact avec un représentant du sous-traitant à qui la Black Hat avait confié l'application vidéo. Après s'être fait expliquer la procédure permettant d'exploiter la faille, il leur a fallu quatre heures pour corriger le bug. Pour le remercier, ils lui ont offert un compte pour se connecter au flux.
De cette affaire, Michael Coates tire plusieurs conclusions :
- Nul n'est à l'abri d'une faille, même la plus grosse conférence de sécurité au monde
- Toute entreprise utilisant les services d'une tierce partie devrait vérifier elle-même sa sécurité, ou demander à des spécialistes indépendants de le faire
- Une divulgation responsable des failles peut marcher
- Les chercheurs en sécurité veulent aider les entreprises, il leur faut juste un moyen de les contacter
Jeff
le 2 août 2010 à 17:21
(29 736
lectures)
Actualités et brèves relatives
- 02 / 08 / 2010 : Pirater les conversations GSM pour 1 500 dollars
- 30 / 07 / 2010 : Des apps papier-peint sous Android récupèrent des infos personnelles
- 29 / 07 / 2010 : Un distributeur d'argent piraté se transforme en machine à sous
- 25 / 07 / 2010 : Hole196 : faille pour le WPA2, nouveau parasite pour l'Hadopi
- 01 / 06 / 2010 : L'UMP s'attaque à l'éthique des TIC : les principales propositions
- 02 / 04 / 2010 : Faille PDF : précisions de Didier Stevens et réactions des éditeurs
- 02 / 03 / 2010 : Charlie Miller, vainqueur du Pwn2Own : « N’installez pas Flash »
- 11 / 02 / 2010 : Un chercheur casse la protection des puces TPM... après 9 mois
