Cookies d’identification de Next INpact : réinitialisation suite à une fuite, déjà colmatée
Joyeux Noël !
Le 21 décembre 2017 à 14h28
2 min
Next
Next
Les failles, ce n'est pas que pour les autres. Nous avons récemment été touchés par le référencement de pages contenant le détail de cookies d'identification. Nous avons rapidement colmaté la brèche et réinitialisé la connexion de tous nos membres.
Vendredi dernier, un lecteur (merci à lui), a découvert que Google référençait des pages de notre système de remontée rapide d'erreur, Elmah. Elles contenaient dans quelques cas des cookies d'identification qui pouvaient permettre à un tiers d'usurper l'identité du membre concerné sur le site.
Théoriquement, elles n'auraient pas dû être indexées, notre configuration ne laissant l'accès qu'à un utilisateur et ces pages ne faisant pas l'objet de liens. Néanmoins, à cause d'un bug dans le processus de mise à jour d'Elmah, notre configuration a été écrasée et nos paramètres de sécurité réinitialisés. Google a de son côté réussi à trouver ces pages.
Suite à cette remontée, nous avons immédiatement débranché l'outil et demandé à Google de supprimer les pages concernées. Nous avons aussi réinitialisé tous les cookies d'identification de nos lecteurs ce lundi, en modifiant les clés de chiffrement utilisées. C'est ce qui explique que vous ayez eu à vous reconnecter ces derniers jours.
Notre analyse montre que la faille date d'au moins deux mois, mais qu'elle ne semble pas avoir été exploitée. Elle a néanmoins été colmatée et ne devrait désormais plus se reproduire.
Commentaires (104)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 23/12/2017 à 08h44
Dans le doute, je change mon pw 
" /> merci aussi pour la transparence 
" />
Le 27/12/2017 à 09h32
Dans la même veine, je me suis aperçu récemment d’un autre autre comportement surprenant et potentiellement indésirable des navigateurs par rapport à cette barre fusionnée (en tout cas chrome, j’ai pas testé l’équivalent sur FireFox): La page d’accueil par défaut contient un champ de ‘recherche’ titré Google, sauf que quand on tape quelque chose dedans, c’est équivalent non pas à une recherche Google, mais à une entrée dans la barre d’adresse.
" />
Dans 99% des cas, c’est ce qu’on veut, mais je me suis fait avoir en voulant ‘checker’ via Google la réputation d’une URL vraisemblablement malveillante, hop direct sur le site en question
Le 21/12/2017 à 19h37
Bravo pour la clarté.
Le 21/12/2017 à 19h48
Non, Google ne référence pas les cookies des sites (qui ne sont pas accessible à un bot d’indexation) et n’est pas à blâmer. Les valeurs des cookies étaient présentes dans le corps de pages réputées accessible seulement par l’équipe de Next Inpact.
Le problème vient d’Elmah qui ne devrait jamais par défaut permettre un accès anonyme (et donc à toute entité ayant le lien) à ses données. Les accès permissifs devraient se faire avec des valeurs de config explicites, comme ça même si le code de mise à jour écrasait la config de sécurité l’accès aurait restreint (plus que prévu) par défaut.
Errare humanum est, parole de développeur. En tous cas merci à celui qui à trouvé ça.
Le 21/12/2017 à 20h01
Le 21/12/2017 à 20h18
Le 21/12/2017 à 20h36
Elles contenaient dans quelques cas des cookies d’identification qui pouvaient permettre à un tiers d’usurper l’identité du membre concerné sur le site.
Dommage que j’ai raté ça, il y en a certains dont j’aurais bien aimé usurper l’identité…
Le 21/12/2017 à 21h57
Bon j’aurais été moins cool avec ma banque, mais là on va dire que ça passe
" />
(c’est quand même compliqué le monde de l’internet multimédia indexé)
Le 21/12/2017 à 22h15
Le 21/12/2017 à 22h37
Le 22/12/2017 à 07h16
Le 22/12/2017 à 07h45
L’utilisation d’Elmah signifie-t-elle que Nextinpact est programmé en ASP ?
Le 22/12/2017 à 08h12
Le 22/12/2017 à 08h22
Le 22/12/2017 à 08h23
Le 22/12/2017 à 08h23
Le 22/12/2017 à 08h27
Le 22/12/2017 à 08h32
Le 21/12/2017 à 15h12
Tous les concernés ne vont pas forcément venir ici, vous avez prévu la même comm par e-mail à tous les inscrits ?
Le 21/12/2017 à 15h13
Le pauvre, Google donne 10 000$ pour son bug bounty
" />
Le 21/12/2017 à 15h18
Ces cookies ne marchaient pas même avant la réinitialisation de ce lundi, il fallait obtenir les derniers cookies directement de la page elmah.
(Je te voyais régulièrement dans les logs d’erreur ^^)
Le 21/12/2017 à 15h25
Cela explique tous les commentaires racistes que j’ai pu poster depuis 2 mois.
" /> Ce n’étais pas moi mais un pirate
Le 21/12/2017 à 15h26
merci pour la communication et au lecteur
" />
Le 21/12/2017 à 15h29
Le 21/12/2017 à 15h30
Elmah donné tous ses cookies
" />
Le 21/12/2017 à 15h32
Je postais cela dans le sens ironique: “merci Google de scanner tout le web (par défaut) et permettre à n’importe qui de facilement extraire des données sensibles”.
" />
Même si ces pages étaient accessibles en direct, il faut bien avouer que Google est une superbe machine a trouver les données. Il y a quelques années on trouvait facilement des logs de squid avec les user/pwd en clair.
Le 21/12/2017 à 15h37
Elmah y-a y-a Elmah y-a y-é
" />
Elmah y-a y-a Elmah y-a y-a
Elmah y-a y-a Elmah y-a y-é
Elmah y-a y-a Elmah y-a y-a
Le 21/12/2017 à 15h39
“C’est ce qui explique que vous ayez eu à vous reconnecter ces derniers jours.”
" />
Ah voila, tout s’explique.
Le 21/12/2017 à 15h44
De toutes les matières, c’est la Ouache qu’elle préfère.
Le 21/12/2017 à 15h45
Tout s’explique aussi pour moi!
" />
Dire que j’ai pris peur lundi quand nextinpact ne me reconnaissait plus sur aucune machine…
Le 21/12/2017 à 15h51
Le 21/12/2017 à 15h53
Viens donc à Lambé, y en a plein
" />
" />
Merci Nxi pour le colmatage. :)
Si je comprendre bien, 1 faille = 1 an d’abonnement, hmm , dommage le pentester du service est en vacances
Le 21/12/2017 à 15h57
Je serais toujours surpris que Big Google arrive à trouver et référencer des trucs pareil 😯
Le 21/12/2017 à 15h58
Le 21/12/2017 à 14h30
Le 21/12/2017 à 14h32
Donc changer notre mot de passe est inutile ?
Le 21/12/2017 à 14h35
dans le doute … ;-) ça ne coute rien.
Le 21/12/2017 à 14h35
à c’est ça la reconnexion, je pensais que ça venait de la nouvelle colonne de droite
" />
Le 21/12/2017 à 14h35
Bon ben chacun son tour quoi
Le 21/12/2017 à 14h36
La même
" />
Le 21/12/2017 à 14h36
C’est inutile, dans la mesure ou de toute façon, les valeurs cookies étaient chiffrées ;)
Le 21/12/2017 à 14h37
Notre analyse montre que la faille date d’au moins deux mois, mais qu’elle ne semble pas avoir été exploitée.
Put
Le 21/12/2017 à 14h42
Pareil
Le 21/12/2017 à 14h45
Merci pour la transparence
Le 21/12/2017 à 14h52
ah ok
merci à la personne qui a pris le temps de remonter la faille et la transparence sur l’info que personne n’avait captée au final…
Le 21/12/2017 à 14h53
Le 21/12/2017 à 14h54
Il y a un lien entre le cookie d’identification et le mdp?
" />
Je croyais que c’était le genre de chose qu’on s’interdisait absolument.
Le 21/12/2017 à 14h55
Merci pour la réactivité, la transparence, c’est chouette !
Certains devraient prendre exemple sur vous :)
Le 21/12/2017 à 14h57
Le 21/12/2017 à 14h58
Non aucun lien, le mot de passe n’est pas dans le cookie déchiffré non plus. mais certaines données contenues dedans peuvent être en lien avec, si l’utilisateur n’utilise pas un mot de passe fort ;)
Le 21/12/2017 à 14h58
Du coup vous allez porter plainte contre la personne qui vous a prévenue pour avoir pénétré illégalement dans votre système d’information ?
" />
C’est une pratique courante
Le 21/12/2017 à 14h59
Absolument pas, on lui a offert un abonnement d’un an
" />
Le 21/12/2017 à 15h01
Le problème vient donc pas de NXI ? mais d’un outil tiers Elmah ?
" />
" />
Bien vu au découvreur de la faille
Le 21/12/2017 à 15h02
Le 21/12/2017 à 15h10
Le 21/12/2017 à 15h11
Merci Google…
" />
Le 21/12/2017 à 17h40
C’est une vraie question. Sachant que le lien était complétement privé et que j’était le seul a l’avoir. J’ai aucune preuve mais y’a quelque chose de louche. Comment Google Bot peut arriver sur cette page (sachant qu’en plus, on n’utilise plus google analytics depuis un bail) ? J’ai pas de réponse, mais le seul lien que je peux trouver, c’est (était) l’utilisation de Chrome.
Le 21/12/2017 à 17h41
Par contre j’ai bien eu à me reconnecter sur le pc mais pas sur le téléphone portable.
La partie mobile de nextinpact n’est pas touchée ?
Le 21/12/2017 à 17h41
Le 21/12/2017 à 17h45
Mais tu ne sais toujours pas qu’on dit quand même et pas comme même
" />
" />
EDIT : mouarf, grilled
Le 21/12/2017 à 17h47
Ils sont parmi nous, ils nous espionnent et nous écoutent… On va tous mourir ! Cours P-A, COURS !
" />
Le 21/12/2017 à 18h09
ils sont laaaa, dans le campagnes, dans les villes !
Le 21/12/2017 à 18h13
Merci pour l’explication, sur le coup me suis demandé ce qui se passait.
Le 21/12/2017 à 18h31
Le 21/12/2017 à 18h49
Bravo pour la communication ^^
Le 21/12/2017 à 18h50
Merci pour l’info, j’ai bien du me reconnecter à mon compte sur mon PC et je pensais d’ailleurs que c’était du à la nouvelle colonne de droite.
" />
En revanche, la version mobile du site (accessible par m.nextinpact.com) n’est pas concernée ?
Si je ne me trompe pas, je ne me suis pas re-loggué depuis mon smartphone (Lumia 950 sous Windows 10 Mobile 10.0.15251.124 Version 1709 / Edge).
Oubli de votre part ou c’est moi qui me plante (ça reste possible, mais je n’ai vraiment pas souvenir d’avoir du me reconnecter sur le mobile), ou alors pas besoin, parce que la version mobile du site n’est pas impactée ?
Le 21/12/2017 à 18h51
La rumeur veut que Chrome (seul) n’est pas suffisant pour indexer une page cachée.
Par contre, les extensions de chrome peuvent tout a fait utiliser une API qui fait que …
Le 21/12/2017 à 19h10
Tragédie en 3 actes :
Acte 1 : Et si on parlait cybersécurité à table en lourdant tout le monde ? N’oubliez pas de donner des leçons à tout le monde !
Acte 2 : N’oubliez pas que NextInpact est un site sans tracker qui vous ne espionne pas ! Et oui ! On est cool !
Acte 3 : Cet article.
Ne changez rien.
Le 21/12/2017 à 19h12
Rien de compliqué/sorcié. Comme le pressent P-A : taper l’url dans le navigateur, oops un espace et ca lance la recherche google. Google découvre alors un domaine inconnu et explore pour le principe.
Le 21/12/2017 à 19h13
Faute avouée est à moitié pardonnée et la correction rapide dès sa connaissance pardonne l’autre moitié.
" />
Le 21/12/2017 à 19h27
Exactement :)
Le 21/12/2017 à 19h30
C’est possible, c’est un peu différent dans le cas de la version mobile. Mais a un moment donné, tu vas forcement devoir te reconnecter.
Le 21/12/2017 à 15h58
GG pour la transparence :-)
" />
Faudrait vraiment que tout le monde soit comme vous
Le 21/12/2017 à 16h07
Le 21/12/2017 à 16h10
Mirci pour le coup de rire…
Le 21/12/2017 à 16h10
Le 21/12/2017 à 16h12
Le 21/12/2017 à 16h12
Le 21/12/2017 à 16h20
+1 pour l’internaute +1 pour la transparence = -2 pour Google :)
Le 21/12/2017 à 16h21
Tient tant qu’on est a ceux qui pose la question du changement de mots de passe, est-il prévu une mise en place de la validation en deux étape ? (peut être considérer inutile mais qui pourrais être bienvenue (je n’aime pas laissé un compte payant avec un simple mots de passe pour le protéger)).
Je sait que cela n’a aucun rapport mais je demande (au cas ou un autre user connaitrait la réponse) pour pas déranger inutilement, soit dit en passant merci pour la transparence !!
Le 21/12/2017 à 16h25
Le 21/12/2017 à 16h28
Des claims. Rien de perso, mais ma parano me fait dire qu’il peut toujours y avoir une coincidence :)
Le 21/12/2017 à 16h29
Belle réactivité ! :)
En revanche, je trouve inadmissible que Google référence les cookies des sites, information qui ne le concerne en rien et n’a aucun intérêt s’agissant du référencement à proprement parler.
On va dire qu’il ne peut rien en faire du fait du chiffrement, ok, néanmoins il a nécessairement tapé au hasard à la recherche de “pages” cachées puisqu’il n’y avait aucun lien!
Le 21/12/2017 à 16h39
Le 21/12/2017 à 16h45
Le 21/12/2017 à 16h53
Flagrant défaut de sécurisation, qu’en pense la Hadopi ?
Le 21/12/2017 à 17h05
Le 21/12/2017 à 17h10
Intéressant de savoir que vous utilisez ASP.NET ;)
Le 22/12/2017 à 08h49
Hey, regad Elmah, laid!
Le 22/12/2017 à 09h45
Le 22/12/2017 à 09h46
Le 22/12/2017 à 10h18
moi aussi je te même
" />
Le 22/12/2017 à 10h23
veinard, encore 15 ans
" />
Le 22/12/2017 à 11h56
Le 22/12/2017 à 12h07
Ce n’est pas tant Chrome. C’est le souci qu’engendre la fusion barre de recherche et barre d’adresse (et firefox est bien aussi dans ce cas, j’ai testé). C’est aussi le souci qu’engendre ceux qui activent la suggestion du moteur de recherche (tu tape un mot et il te propose d’autre mots, s’il n’a pas identifié que tu étais en train de taper une URL alors il transmet une recherche à Google (si c’est ton moteur de recherche par défaut).
Pour t’en convaincre. Dans ta barre d’adresse tape successivement
nextinpact.com/toto-pouetmeuh/ <– erreur 404 de Nxi
nextinpact.com/toto pouetmeuh/ <– recherche moteur par défaut
La seule différence c’est qu’un espace s’est glissé et a transformé une URL en “mot de recherche”.
Si tu as bien https:// en début tu n’aura jamais ce problème.
Mais j’imagine bien P-A taper rapidement l’URL car il la tape peut être 42x par jours. Et paf pastèque
Le 22/12/2017 à 12h35
hum… si ca déclenche une recherche, alors par définition ce que tu as tapé n’était pas une URL bien formée. Ca sous entendrait que GoogleSearch corrige de lui même l’URL pour la crawler plus tard… autre rumeur sur laquelle enquêter.
Plus probable: l’utilisation des DNS de google ?
Le 22/12/2017 à 12h41
Cf mon message juste en dessus. Un simple espace fait une URL éronnée
Le 22/12/2017 à 12h55
Je me suis mal exprimé… je voulais dire est-ce que GoogleSearch va aller crawler une URL qui a été utilisée comme texte de query ? exemple.
Le 22/12/2017 à 13h11
C’était justement notre théorie. On pourrait faire tout un dossier communautaire avec P-A en rédacteur
" />
Edit: Quid DNS google, Quid envoi Gmail, Quid GTalk, Quid GDrive, Quididididadaddoo.
Le 22/12/2017 à 14h56
Je comprends mieux (j’avais immédiatement re-séparé barre de recherche et barre d’url sur ffx).
Outre cette théorie, ca laisse entière la question de savoir s’il est légitime que Google prenne sur lui de référencer une page non linkée?
Le 22/12/2017 à 15h02
Le 22/12/2017 à 15h07
Le 22/12/2017 à 15h22
Le 22/12/2017 à 15h23
C’est pas faux 
" />