Quand on pense que les problèmes de sécurité chez Yahoo ont cessé, un autre surgit. Au moins, celle-ci n’est pas (très) sérieuse et a déjà été corrigée : une vulnérabilité dans le système de téléchargement de Flickr permettait de poster des photos de manière abusive sur pratiquement n’importe quel compte d’utilisateur.
Avez-vous déjà pensé à vous connecter à votre compte et à y trouver une photo qui n’est pas la vôtre ? Il n’y a pas d’informations indiquant que cela s’est produit, car apparemment le problème a été corrigé avant que quiconque ait eu la chance de l’exploiter. Mais la faille est pour le moins curieuse et sert d’alerte à l’importance de prêter attention aux plus petits détails dans le développement d’un système.
Eh bien, le problème en question a été découvert par un jeune homme aux compétences avancées en matière de sécurité qui s’identifie comme Jazzy. En utilisant Flickr, il s’est rendu compte que le service dispose d’une fonction qui lui permet de publier des photos et des vidéos par courrier électronique. Il suffit d’envoyer le contenu à une adresse électronique unique créée automatiquement pour chaque utilisateur.
Il s’agit d’une fonction utile pour certains utilisateurs. Toutefois, toute personne possédant l’adresse électronique d’un compte pourra y poster. Ce n’est pas un défaut, il est donc pratique pour l’utilisateur d’être prudent. Pour cette raison, Jazzy s’est demandé s’il y avait un moyen d’obtenir une liste de ces courriels.
Jazzy ne pouvait pas contourner la sécurité de Flickr pour accéder à la base de données. Cependant, il a découvert que l’utilisateur peut demander au service de générer un nouveau courriel pour remplacer le précédent. Après avoir effectué cette procédure à plusieurs reprises, Jazzy s’est rendu compte que les courriels étaient générés selon un modèle :
Jazzy a ensuite créé un script en Python qui a généré 23 692 adresses sur le service pendant la nuit. Avec un autre script, il a découvert que tous ces e-mails étaient générés à partir d’un ensemble de seulement 935 mots du dictionnaire, tous d’une longueur maximale de six caractères.
La valeur par défaut utilisait deux mots définis à partir de 935 options et un nombre de 0 à 100. Jazzy a ensuite fait le compte 935 * 935 * 100 et a conclu que le système peut générer, avec la formule, plus de 87 millions d’adresses. Seul Flickr possède environ 50 millions de comptes. Un script basé sur la même formule pourrait être développé pour générer les 87 millions d’e-mails, chacun ayant plus de 50% de chance de correspondre à l’adresse réelle d’un utilisateur.
Lire aussi : Les 3 milliards de comptes Yahoo ont été touchés par l’attaque
Eh bien, avec cette liste de diffusion, une personne pourrait, en thèse, publier une image dans des millions de comptes à la fois. Mais Jazzy participait au programme Yahoo Bug Bounty et a donc simplement signalé le problème à l’entreprise.
La faille a été confirmée par Yahoo, rapidement corrigée et ensuite récompensée ? dans les commentaires postés sur le sujet, Jazzy affirme avoir reçu 4 000 euros.
La seule question est de savoir si cette correction est vraiment efficace : dans un test rapide ici, les courriels générés n’ont eu qu’un seul chiffre de plus et un mot du dictionnaire anglais ajouté.
