Instagram : un chercheur a trouvé une faille, mais serait allé trop loin selon Facebook
Données personnelles ou pas données personnelles ?
Le 18 décembre 2015 à 16h19
6 min
Internet
Internet
Un chercheur en sécurité a trouvé plusieurs failles de sécurité sur l’un des serveurs d’Instagram. Elles étaient suffisamment sérieuses pour lui permettre d’accéder à l’ensemble des données stockées par le service de partage de photos. Mais cet accès a créé une réelle tension avec Facebook : pour la société, le chercheur est allé trop loin.
Le chercheur Wes Wineberg a reçu de la part d’un ami une information intéressante : l’un des serveurs d’Instagram, sensu.instagram.com, contenait potentiellement une faille de sécurité. Il s’est donc penché sur la question, et a effectivement trouvé une brèche. Exploitable à distance, elle résidait dans la manière dont le service générait des cookies pour se souvenir de la connexion de l’utilisateur.
Plus précisément, le problème réside dans la conjonction de deux facteurs. D’un côté, le serveur utilisait un jeton secret de sécurité codé en dur. De l’autre, ce même serveur utilisait une version de Ruby (langage de script) connue pour abriter une faille autorisant une exécution arbitraire de code. Exploitant ces deux facteurs, le chercheur a finalement été en mesure de récupérer de nombreuses informations, dont les identifiants d’utilisateurs et d’employés et différents fichiers de configuration.
Creuser, jusqu'à mettre la main sur l'intégralité des données personnelles
Il aurait pu s’arrêter là, mais il a décidé de poursuivre son enquête. En creusant dans les fichiers de configuration, il a fini par trouver des clés relatives à des comptes Amazon Web Services, ces derniers étant utilisés par Instagram pour l’ensemble de son fonctionnement. En allant un peu plus loin, il est finalement tombé sur un jeu de clés lui ouvrant les portes des 82 instances de stockage Amazon S3. Or, ces instances ne contenaient rien de moins que la totalité de ce qu’Instagram pouvait héberger : son propre code source, les certificats SSL, les clés privées, celles liées aux API pour leur exploitation par des services tiers, l’ensemble du contenu statique du site web, les clés de signature pour les applications mobiles et surtout la totalité des photos et vidéos chargées par les utilisateurs dans le service.
Dans son blog (inaccessible pour l'instant), le chercheur explique que ces clés lui ont tout simplement permis d’obtenir tout le contenu d’Instagram, ce qui posait un sérieux problème : « Avec les clés que j’ai obtenues, je pourrais tout à fait imiter Instagram, ou n’importe quel utilisateur valide ou membre du personnel. Bien que ce soit hors-sujet, j’aurais pu facilement obtenir l’accès complet à n’importe quel compte, image ou donnée d’un utilisateur ». Les mots de passe sont pourtant chiffrées via bcrypt, Instagram n’ayant clairement pas choisi le premier algorithme venu pour sa sécurité. Mais comme indiqué par Wineberg, trop de comptes utilisent des mots de passe très faibles, et il lui a donc été facile d’en déverrouiller une douzaine rapidement.
Pour Facebook, Wineberg est allé beaucoup trop loin
Malheureusement pour lui, Facebook – qui possède Instagram – est clairement mécontente de cette situation. Non pas que l’entreprise renie le travail accompli par le chercheur, mais elle estime qu’il est allé beaucoup trop loin dans son enquête. En effet, Wineberg n’avait pas besoin selon elle d’aller jusqu’à fouiller dans les instances de stockage Amazon pour prouver que la faille était exploitable. La récupération initiale des fichiers de configuration et des identifiants était largement suffisante. En accédant aux données des utilisateurs, le chercheur aurait donc commis une erreur, brouillant passablement la situation.
Et la situation est en effet brouillée. Si l’on en croit Alex Stamos, le responsable de la sécurité chez Facebook, le chercheur a bien fait une erreur. Tout allait bien initialement : Wineberg avait prévenu pour la faille et montré son exploitation pour obtenir les identifiants et fichiers de configuration. Il avait contacté Facebook en utilisant l’adresse de la société Synack pour laquelle il travaille. Le réseau social l’avait informé qu’il recevrait 2 500 dollars en récompense de cette trouvaille, avec autorisation d’écrire un billet de blog sur sa découverte.
Exfiltrer des « quantités non nécessaires de données personnelles »
Selon Stamos, c’est à ce moment que les choses ont déraillé. Wineberg aurait affiché son mécontentement face à une somme qu’il jugeait trop faible. Il aurait donc continué à creuser, jusqu’aux découvertes qui ont fait grincer des dents chez Facebook, indiquant au passage qu’il rédigerait un billet complet avec ces nouvelles informations. Stamos aurait donc appelé le PDG de Synack, Jay Kaplan, pour l’informer non seulement que Wineberg allait trop loin, mais également que cette action établirait un impossible précédent s’il était autorisé : pas question de laisser les chercheurs exfiltrer des « quantités non nécessaires de données personnelles dans le cadre d’une recherche de bug ».
Ici, Wes Wineberg indique sur son blog que Stamos a menacé Kaplan de poursuites, ce que le responsable de la sécurité dément. Il aurait indiqué préférer laisser cette affaire en-dehors des mains des avocats et à aucun moment n’aurait demandé à ce que l’employé de Synack soit licencié. De son côté, Jay Kaplan aurait indiqué que les actions de Wineberg n’avaient pas été ordonnées par l’entreprise, cette dernière cherchant donc à se désengager de l'épineuse situation.
Le problème des conditions de la chasse aux bugs
Il y a donc clairement deux visions très différentes de l’affaire. D’un côté, le chercheur estime avoir été menacé par Facebook, jusqu’à appeler son patron pour faire pression. De l’autre, Facebook pense avoir respecté la chaine hiérarchique, dans la mesure où Wineberg utilisait son adresse professionnelle pour communiquer. Alex Stamos insiste sur l’idée que le vrai problème était la publication de ce billet de blog, puisque le contenu sortait des lignes de conduite réclamées par le programme de chasse aux bugs de Facebook : les données personnelles des utilisateurs ont été inutilement mises en danger. Wineberg assure pour sa part que toutes les manipulations ont été faites de manière responsable.
Actuellement, il semble en tout cas que Wes Wineberg connaisse bien les conditions de cette chasse aux bugs. Telles qu’indiquées sur le site de Facebook, elles ne précisent nulle part qu’un chercheur ne peut creuser plus loin à la recherche d’autres problèmes dès lors qu’il en a trouvé un premier. Il existerait donc un flou entre ce que Facebook pense vouloir imposer dans ses règles et ce qui est clairement indiqué, ce qui expliquerait sans doute le choc des deux visions. Il n’est donc pas impossible que ces conditions de participation changent rapidement.
Instagram : un chercheur a trouvé une faille, mais serait allé trop loin selon Facebook
-
Creuser, jusqu'à mettre la main sur l'intégralité des données personnelles
-
Pour Facebook, Wineberg est allé beaucoup trop loin
-
Exfiltrer des « quantités non nécessaires de données personnelles »
-
Le problème des conditions de la chasse aux bugs
Commentaires (81)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 18/12/2015 à 16h39
ils voulaient pas payer le surplus pour les infos qu’il a pu trouver facilement surement? C’est vrai quoi, pourquoi devoir corriger l’iceberg afin de réellement sécuriser les données, plutot que de se contenter de la partie visible?
Le 18/12/2015 à 16h40
Le 18/12/2015 à 16h41
c’est qu’en meme bizarre
il y a des “chercheurs” de bugs qui n’hesitent pas a demander des M\( pour les failles qu'ils arrivent a trouver
sinon ils les mettent a disposition du tout venant .... on ne crie pas haro en les mettant sur le bucher
ici il y a un chercheur au seing qu'une entreprise qui trouve une faille critique 0days
Facebook lui donne "genereusement" 2 500\)
le chercheur trouve que ce n’est pas assez (surtout pour une telle faille … il aurait pu negocier ca avec la NSA ^^)
met le processus de la faille sur un blog
et Pof … “tout le monde” trouve ce type degeulasse et le traite d’arnaqueur …
Moralité il vaut mieux etre un e….é de Hacker pres a faire de l’extortion, qu’un chercheur qui trouve une failles
Le 18/12/2015 à 16h43
ca reste pas si simple, parce que pour moi il voulait prouver que c’était une faille critique en prouvant que il avait acces à tout, alors que j’imagine que Facebook voulait juste payer pour une faille “importante” … donc c’est plus de la gourmandise de sa part j’aurai dit …
mais dans un jugement … ça sera difficile a défendre …
Le 18/12/2015 à 16h44
j’aurai dit plutot futur taulard " />
Le 18/12/2015 à 16h44
en soit les deux ont raison
2500$ c’est vraiment peanuts
et il aurait pas du chercher tout cela
dur à trancher
pour ma part je me dirais que ca dépend si il a fait qqe chose des sources et autres données trouvées. si il les a gardé pour lui ou non
Le 18/12/2015 à 16h46
Il a simplement voulu montrer que la faille n’était pas à prendre à la légère, on l’a pas prix au sérieux, il l’a prouvé. Je ne pense pas qu’on puisse lui reprocher grand chose, surtout que son mécontentement pour la somme proposée s’avère justifiée. De l’autre côté on contacte son patron pour lui mettre la pression…
Le 18/12/2015 à 16h52
Le 18/12/2015 à 16h53
Le 18/12/2015 à 16h55
Le 18/12/2015 à 16h55
En France, à partir du moment où tu entres dans un système en ayant conscience que tu n’as rien à y faire, tu es condamnable (les détails peuvent varier, mais c’est sensiblement la même chose partout). Les systèmes de bug-bounty c’est un ‘cadeau’ fait pas les éditeurs aux hackers qui sont gentils avec eux, rien ne les y oblige. Ils pourraient directement attaquer en justice si ça les amusaient. Un échange de bons procédés en quelque sorte.
A partir du moment où le hacker juge que le cadeau n’est pas assez gros et va fouiller au delà de la tolérance de Facebook, c’est selon les cas soit de la vengeance, soit du chantage. Dans les deux cas, c’est difficilement défendable, aussi bien moralement que juridiquement.
Le seul truc qui peut jouer pour lui, c’est si l’a fait pour forcer Facebook à corriger le problème plus vite. Et encore, ça joue pour lui du point de vu de l’image, pas de la loi.
Le 18/12/2015 à 17h04
il est évident qu’il est dans la merde " />
Le 18/12/2015 à 17h05
Le 18/12/2015 à 17h09
A sa place, j’aurais pas hésité.
Quand une entreprise comme FB refuse de faire son boulot, d’admettre ses erreurs et joue les pingres alors qu’ils brassent des milliards, il ne reste plus qu’à les remettre en place et leur faire comprendre que leur château de cartes n’est pas si solide que ça.
Le chercheur a été beaucoup trop gentil avec eux.
Le 18/12/2015 à 17h10
En meme temps fb veux recomposer le “chercheurs des failles”, que de 2500 dollars. Ces sures, que ces chercheurs, ils se grattent avec… Autant vendre ses trouvailles sur le darknet car a ce qu’on dis, ca paye bien las-bas. Sur une boite qui brasse des milliards, c’est comme ca qu’on paye les gens qui font le travail a leur place…
Le 18/12/2015 à 17h33
Sauf que la situation n’est pas comparable, déjà parce que le travail effectué a été fait sur le temps libre du chercheur, donc son patron n’avait aucunement a être contacté pour cette affaire. Et puis mettre les choses “en règle” ? Sérieusement, chez Facebook, ils ont vraiment de la chance que le chercheur ne cherchait pas à les nuire vu le niveau plus que critique de ce qu’il a découvert. Sans parler de la mauvaise presse que ça fait aux prochains qui risquent de tomber sur le même type de faille.
Dans tous les cas, ce que je trouve le plus grave, c’est que le chercheur soit obligé d’aller aussi loin pour que sa trouvaille soit réellement pris en considération. C’est ça le professionnalisme d’une des entreprises les plus grosses du monde informatique ? Et bah, bravo Facebook, vraiment. " />
Le 18/12/2015 à 19h53
C’est surtout complètement con de la part de Facebook/Instagram. Le message envoyé au public, c’est: “si vous trouvez une faille ultra critique pour permet de compromettre l’intégralité de notre infra, si vous voulez du pognon, vendez ça à la NSA ou à la mafia russe, mais nous, on vous filera juste un paquet de cahouèttes et une tape sur l’épaule”.
Enfin, il est juste scandaleux qu’une faille sur un frontend compromette l’intégralité d’une infra. L’architecte qui a mis ça en place devrait retourner jouer aux billes. Et de fait, le mec a eu raison de continuer. L’architecture en elle même constitue la seconde faille, qui vaudrait donc, à minima un second chèque de 2500$ en suivant la logique de facebook.
Le 18/12/2015 à 19h54
Le 18/12/2015 à 19h56
" />
Le 18/12/2015 à 20h39
Il s’en sortira s’il a récupéré des photos compromettantes du juge !
Sinon Facebook aurait dû le payer Ruby sur l’ongle.
Le 18/12/2015 à 20h54
Le mec à eu raison, 2,5K pour un truc comme ça. N’importe quoi.
Le 18/12/2015 à 21h26
Le 18/12/2015 à 21h28
Le 18/12/2015 à 22h14
Le bug avait déjà été rapporté par d’autres.
Il a ensuite fait du chantage voire de l’extorsion en utilisant la faille pour aller plus loin dans le système (sans utiliser ni découvrir d’autre faille) pour construire un rapport de force pour obtenir plus qu’offert par Facebook.
Malgré le chantage, Facebook a continué de proposer de payer le chercheur, en demandant simplement de ne publier que sur la faille elle même.
Il est 100% en tort autant du point de vu moral que du droit.
Le 18/12/2015 à 22h21
Le message : si vous découvrez une faille déjà connue et que vous l’exploitez pour faire du chantage, Facebook ne vous suivra pas.
Le 18/12/2015 à 23h27
Pas exactement, la première faille qu’il a rapporté était déjà connu, il a ensuite à partir de la première poussé l’investigation plus loin car le responsable de chez facebook ne donnait pas beaucoup de considération à ce qu’il avançait. Du coup, il a du lui prouvé que ce n’est pas des cracks, avec la suite qu’on connait… Sachant que s’il était réellement mal intentionné, qui sait ce qui aurait pu se produire ?
Le 18/12/2015 à 23h35
Payer 2.500\( pour une petite faille les cookies.: ok, c'est cool, ca donne une bonne image.
Payer 25.000\) pour un accès illimité a l’infrastructure: non, c’est pas bon, ca donne une mauvaise image.
Moralité: le bug-bounty c’est davantage un programme de communication que de sécurité.
Le 18/12/2015 à 23h38
Le 19/12/2015 à 02h30
Bonjour,
Je dirai plutôt bonne chance au chercheur en espérant qu’il gagne son procès. C’est évident que Face ne voulait pas payer et ils ne sont pas à leur premier coup d’essai. Souhaitons que le juge puisse le suivre dans sa logique. Ce n’est pas impossible si c’est bien développé.
Attendons de voir.
Le 19/12/2015 à 04h42
Ok, je comprends bien qu’instragram ou nextINpact ne soient pas classés ni OIV ni “à grand risque financier” en cas de perte de contrôle, et qu’on ne mette pas la même énergie à protéger les données.
Mais dans ce cas, pourquoi ne pas assumer la chose, et dire qu’il n’a rien piraté puisque tout est public?
Ce qu’il a fait est donc un banal piratage, qui montre juste que la société ne défend pas ses datas.
Pourquoi ce n’est pas assumé par la société, de dire que ce n’est pas grave et qu’il n’y avait rien à défendre?
Le 19/12/2015 à 08h46
Le 19/12/2015 à 09h18
Attendez quand même, il a trouvé une faille qui permet d’accéder à toutes les données d’instagram. Certes il a voulu être gourmand mais uniquement en travaillant davantage pour montrer qu’il y avait de très grosses failles critique et encore “critique” c’est un euphémisme!!
À la place de facebook, j’aurai fermé ma gueule et commencé à négocier avec ce chercheur afin de combler rapidement cette immense faille!
Le 19/12/2015 à 10h14
En même temps, ce n’est pas comme si toutes les données des utilisateurs avaient vocation à être publiques. J’imagine d’ailleurs que des clichés compromettants/sulfureux pourraient être découverts sans grand mal…
Et puis c’est sans compter aussi sur ce petit détail complètement insignifiant… " />
Suis-je donc le seul à être choqué de voir que genre d’informations se retrouve sur des serveurs destinés à l’hébergement des données accessibles à distance ? Ça reviendrait un peu à y stocker les clés privées de portefeuilles Bitcoin bien garnis, les conséquences économiques directes en moins, mais l’INpact global sur le long terme en plus selon l’usage qui pourrait en être fait et cela n’exclue donc pas, in fine, de lourdes conséquences financières.
À mon sens, c’est là l’une des véritables failles de sécurité annexes à celle de départ.
Même si la question de savoir si, légalement, le chercheur aurait dû aller si loin peut se poser, le travail d’investigation qu’il a accomplit a le mérite d’avoir mis en lumière un certain nombre de manquants potentiellement préjudiciables s’ils venaient à être exploités par des personnes mal intentionnées. Sans cela, on n’aurait sans doute jamais eu vent de l’existence d’une telle brèche, et Instagram n’en aurait peut-être même pas eu conscience. En somme, il a agit comme une sorte de « découvreur–lanceur » d’alerte.
Le 19/12/2015 à 11h35
Le 19/12/2015 à 13h49
J’ai lu l’article de blog du chercheur, franchement, Facebook joue la mauvaise foi.
Le chercheur a communiqué sur tout ce qu’il faisait. Les mecs en face lui envoie des petites phrases toutes faites et ferme le ticket un jour sur deux sans raison et sans réponse.
S’ils ne veulent pas que le mec s’amuse avec leur infra, il n’avait qu’à le dire explicitement dans les règles whitehat, ou dans leur première réponse.
Le 19/12/2015 à 14h23
Le 19/12/2015 à 14h27
C’est justement en fouillant dans les buckets S3 qu’il a découvert une seconde paire d’identifiants qui lui ont ouvert le royaume. Et ça a bien mis en évidence un second problème de sécurité (escalade de privilèges énormissime). Alex fait semblant de ne pas comprendre pour ne pas perdre trop la face
Le 19/12/2015 à 14h45
Imaginez la horde de hackers expérimentés qui exploitent cette faille depuis des années, ça fait quand même peur :s
Le 19/12/2015 à 18h22
Le 19/12/2015 à 18h49
Le 19/12/2015 à 19h18
Ben “exact” a plus d’un sens (suffit juste de mater le dico).
Mais t’as pas tort dans le fond, juste la forme qui prête à confusion " />
Le 19/12/2015 à 20h06
Bon, j’avoue ne pas connaître le fonctionnement du nuage Amazonien mais dans tous les cas, je vois mal comment il serait possible d’y consulter des données sans les avoir téléchargé d’une manière ou d’une autre.
Dans son billet de blog, il indique effectivement avoir téléchargé des choses, mais il ne liste pas précisément lesquelles, si ce n’est qu’il « avoue » avoir mis en téléchargement des « buckets » mais on ne sait pas lesquels ni leur contenu. Et le responsable FB n’apporte aucune précision supplémentaire.
Donc en substance, on ne sait au final que très peu de choses, et si leurs relations ne s’améliorent pas, ce sera de toute façon à la justice de trancher. " />
Le 20/12/2015 à 00h36
Le 20/12/2015 à 09h30
Comme tu t’es bien fait enfler le chercheur. Bien fait pour ta gueule. La prochaine fois n’oublie pas le lubrifiant " />
Le 20/12/2015 à 19h27
Le 20/12/2015 à 20h28
C’est quand même drôle qu’ils déclarent publiquement pouvoir payer 1 million de $ pour un bug et dès qu’il y en as effectivement un, il refuse de mettre, ne serais-ce que 2500…A ce compte la, ça va surtout inciter à exploiter les failles pour gagner (illégalement) de l’argent plutôt que les signaler…GG les gars c’est ce qui s’appelle prendre des mesures contre productives ça!
Le 20/12/2015 à 21h29
Oui, mais c’est justement ce à quoi je pensais en parlant de télécharger des données « d’une manière ou d’une autre ». Pour arriver dans la mémoire vive, il a bien fallu malgré tout télécharger les données en question. Le support final n’est qu’un petit détail technique, il pourrait d’ailleurs très bien avoir utilisé un disque virtuel que la problématique serait toujours la même.
Ce que n’est que pure spéculation de ma part, mais à mon avis, vu la quantité de données à laquelle il a eu à faire face, il était probablement beaucoup plus commode d’en extraire des pans entiers pour faire des analyses en local plutôt que de traiter des petits fragments les uns après les autres avec le risque de devoir en re-télécharger fréquemment.
Et encore une fois, sauf erreur de ma part, on ne sait au final que très peu de choses sur ce qu’il a véritablement téléchargé. En tout cas, le chercheur prétend avoir uniquement ciblé les « seaux » ne contenant justement pas de données personnelles des utilisateurs :
There were quite a few S3 buckets dedicated to storing users’ Instagram images, both pre and post processing. Since the Faceboook Whitehat rules state that researchers need to “make a good faith effort to avoid privacy violations”, I avoided downloading any content from those buckets.
Ce qu’Alex Stamos n’a visiblement pas été en mesure d’infirmer avec cet aveu en fin de billet :
we have no evidence that Wes or anybody else accessed any user data.
Le 21/12/2015 à 06h38
en france tu dois deviner que tu n’a rien à faire là, meme si les données sonten accès libre.
Le 18/12/2015 à 16h22
Si l’on en croit Alex Stamos, le responsable de la sécurité chez Facebook, futur chomeur
Le 18/12/2015 à 16h28
Je ne suis pas compétent techniquement pour en juger, mais si le fait d’avoir poussé n’est qu’une exploitation ‘au bout’ de la faille, et qu’elle révèle pas d’autre problèmes, alors je ne vois pas quel argument il peut utiliser pour se défendre.
A partir du moment où il exploite une faille pour son profit personnel, son chapeau s’assombrit dramatiquement. Je ne comprends pas comment il a pu croire qu’il s’en tirerait.
Le 18/12/2015 à 16h30
Si c’est vrai que Facebook lui a proposé 2500$ et que c’est après qu’il est allé “plus loin” là il est vraiment difficilement défendable …
Pour le coup, on est à la limite de l’extorsion de fonds …
Le 18/12/2015 à 16h32
S’il aurait pas été “jusqu’au bout”, Facebook n’aurait même pas levé le petit doigt … La réaction de Facebook n’est qu’une posture pour dire “vous voyez ! on fait gaffe à vos données perso” rien d’autre. Il faut bien rassurer les actionnaires.
Le 18/12/2015 à 16h34
Bravo Facebook, qui va devoir déjà gérer cette affaire et voir de plus en plus de “chercheur” s’intéresser à ce bug…
Il on pas beaucoup de marge pour corriger ça, voir c’est déjà trop tard, client instagram, fuyez !!
Le 18/12/2015 à 16h38
Et dire que ce n’était pas la première fois que la faille avait été signalée… " />
Le 18/12/2015 à 17h33
c’est quand même malheureux que certain s’étonnent qu’il soit allé au bout de sa découverte.Il est bien normal qu’il termine sa démonstration.
Et le payer 2500\( pour cette société qui tire tous ses profits de la vie privée des gens...250 000\) aurait été un minimum,car la faille semble monstrueuse!!
il en faudrait plus des messieurs Wineberg (ca veut dire un bloc de vin gélé flottant??) afin de prouver que laisser sa vie privée aux mains des profiteurs cela peut être dangereux.
Le 18/12/2015 à 17h46
2500 Dollas " />
Le 18/12/2015 à 17h56
Le mec est allé un peu loin mais ca reste correct si on veut pouvoir établir la criticité de la faille.
Je veux dire : tu découvres une faille qui permet de s’authentifier sur un compte en déjouant le mot de passe… $2500, serrage de paluche , merci mon gars.
Là le mec découvre une faille… les clés de l’enfer d”Instagram ! Faille méchamment critique qui vaut plusieurs million de dommage potentiel pour Instagram " /> Réaction : M. est allé trop loin.
Il n’est pas allé trop loin, il a juste établi que la faille était plus que critique… la faille absolue en fait " />
Et il n’a rien pris apparemment, il a juste dit qu’il avait accès à tout et qu’il pouvait donc tout prendre… ou tout foutre en l’air. J’imagine que pour tout prendre (dl) il faudrait quelques semaines, même avec la fibre " />
Le 18/12/2015 à 18h09
Comme d’hab, avant de critiquer, faut regarder les sources, les articles NXi n’étant que des résumés. Et plus particulièrement Vincent qui ne s’embête pas trop avec les détails que les trolls aiment tant. Dommage qu’il ait perdu sa Sword.
La somme de 2500\( est expliqué, et l'explication se tient. De fait, 2500\) pour dire après la bataille qu’un soft n’est pas à jour, c’est pas si mal payé…
Le 18/12/2015 à 18h28
Le 18/12/2015 à 18h33
Le 18/12/2015 à 18h34
Le 18/12/2015 à 18h35
“De fait, 2500$ pour dire après la bataille qu’un soft n’est pas à jour, c’est pas si mal payé…”
Heu, moi de ce que j’en comprends on a quand même un problème d’architecture quand une bête faille sur le ruby de ton frontend te permet de perdre toute ton infra. Il y a une erreur de conception pour cloisonner les choses, non?
C’est ce 2e point qui a été mis en valeur dans un second temps indépendamment du fait que le frontend puisse être bâclé. Un bête bug de frontend + une archi merdeuse = jackpot à chaque faille découverte.
Dites moi si je me trompe…
Le 18/12/2015 à 18h46
C’est ce que j’ai compris aussi.
Après le côté limite de l’action du chercheur c’est qu’il a téléchargé des instances AWS en masse pendant la nuit, instances qui contenaient des données utilisateurs. Il précise qu’il n’a pas fouillé dedans et qu’il s’est concentré sur la découverte de tout le code interne et des certificats de sécurité d’Instagram mais le fait est qu’il a tout téléchargé sur son PC à lui. Et il semble y avoir un mauvaise définition des actions à effectué dans ce cas là (de façon similaire en France avec l’affaire Bluetouff). J’aurais envie de dire que dans ce cas là l’intention du chercheur n’était certainement pas mauvaise (il avait vraiment moyen de porter un coup très dur à Instagram, semblable voir supérieur au piratage d’HashleyMadison) et que donc Facebook devrait se calmer un peu et l’écouter.
Le 18/12/2015 à 19h15
" /> de confirmer ma compréhension vague de la tentative du noyage de baleine.
Le problème qu’il soulève n’est pas lié au législatif, sur lesquels facebook aurait raison, mais bien autrement et hasardeusement sur la faute grave d’un point de vue sécurité de l’architecture.
Comme dit Aloyse57
Le 18/12/2015 à 19h19
“Lorsque le sage pointe la lune, l’idiot regarde le doigt”… " />
Plus sérieusement, dans ses histoires chacun a sa version, donc difficile de peser le pour et le contre. Mais si Weinberg ne pouvait pas se contenter des 2500$, j’aurais pu les recevoir à sa place. :P
J’espère juste que du côté de Facebook/Instragram la faille est corrigée au milieu de tout cela. ^^
Le 18/12/2015 à 19h33
En Amérique du Nord il n’y a pas de volets aux fenêtres et les portes tiennent juste sur une pauvre serrure à 1 point qu’un enfant peut ouvrir avec un trombone (j’exagère mais à peine). De toute façon les maisons sont à ossature en bois, donc un coup de pied et on en parle plus (comme dans les films).
Etrange que dans un pays ultra violent comme les USA, cette habitude demeure.
Le 18/12/2015 à 19h41
Mais pourquoi souligner cette faute en particulier ? " />
Le 18/12/2015 à 19h42
C’est aussi ce qui m’a surpris en Belgique et aux Pays Bas, les jardins sont ouverts et sans haie, les salons sont sans rideaux, et la lumière reste allumée toute la nuit pour montrer l’accueil.
Alors que par ici dans le sud de la France, la logique est plutôt à se calfeutrer déjà au niveau de la visu jardin depuis l’extérieur, puis remettre une couche de pièges à loups dans le jardin, ensuite renforcer la frontière habitat-jardin et ne pas montrer la lumière, et enfin mettre des alarmes d’intrusions au cas ou tout le reste a foiré avec intervention dans la 1/2h.
Bref, c’est pas le même monde.
" />
Le 18/12/2015 à 19h42
2500 dollars " />
Vu la criticité du problème, j’aurais mis 2 ou 3 zéros de plus sur le chéquier..
Le 18/12/2015 à 19h51
C’est marrant de voir comment FB change de posture en 2012 il disait “If there’s a million-dollar bug, we will pay it out,”
perso je pense qu’il y une erreur de jugement par le RSI de FB sur l’importance de la faille, car franchement 2500$ sa peux paraître bcp, mais c’est peux quand on voit qu’au final il a basiquement rooter toute l’infra d’instagram, c’est super moche.
il aurait du lui offrir plus ou avoir une discutions plus moderne/ouverte (c’est pour moi le cas basique de deux IT en désaccord ).
personne a parler du bug de grub :P
Le 21/12/2015 à 08h12
L’affaire n’est effectivement pas simple et le comportement du chercheur laisse à désirer.
Cela dit il n’a pas non plus fait de mal et les 2500$ sont très chiches, surtout pour une faille de cette ampleur.
Le 21/12/2015 à 08h43
Le 21/12/2015 à 09h17
Ce qui sera difficile à défendre également c’est pourquoi la version du Ruby installée était dans une version connue pour être vulnérable. Pourquoi l’intrusion sur les instances Amazon n’a également pas été détectée ? Comment Wineberg a-t-il pu se connecter sur les serveurs via SSH ?
Bref tout semble indiquer que le niveau de sécurité d’Instagram laisse fortement à désirer. Alors certes il y a un manque d’éthique de la part de Wineberg mais une personne mal intentionnée ne se serait pas donnée la peine de prévenir avant d’entrer.
Le 21/12/2015 à 09h24
Il manquait au bas mot un 0 sur la prime.
En gérant bien, ce genre de faille peut réussir à se vendre jusqu’à 250 000€ à des services de renseignements.
Franchement si on me propose 2 500€ pour une faille en root sur une appli avec plus de 400 millions d’utilisateurs, un accès au code et aux clefs, je met une backdoor et je vend ça au marché noir.
Ok c’est très proche de l’extorsion de fond, mais d’un autre coté cette (pas toutes) faille est une faute de l’entreprise vis à vis de ses clients, elle en est donc en partie responsable.
Le 21/12/2015 à 11h52
Le 21/12/2015 à 12h31
D’après le chercheur, il n’a pas communiqué avec Facebook via son adresse pro avant que sa boite soit contactée:
At no point before Alex Stamos contacted my employer did I use my work
email address. Only when replying to an email from Alex Stamos to my
employer did I use my work email
account. My Facebook profile does not include my employer, and none of
my actions would have indicated that I was participating on my employers
behalf.
De l’autre côté, Alex Stamos dit que le chercheur a utilisé son adresse pro:
At this point, it was reasonable to believe that Wes was operating on
behalf of Synack. His account on our portal mentions Synack as his
affiliation, he has interacted with us using a synack.com email address,
and he has written blog posts that are used by Synack for marketing purposes.
Là soit il y a quelqu’un qui ment, soit quelqu’un ne dit pas toute la vérité. Les propos du chercheur semblent plus précis mais pour savoir, il faudrait qu’Alex Stamos avance des preuves de ce qu’il avance.
Le 21/12/2015 à 15h08
Je crois surtout que le responsable sécurité chez FB tente de garder la face. Même si Wineberg est en tort légalement parlant, la faille est tellement critique qu’il fallait bien aller plus loin pour prouver l’importance de cette faille qu’ils n’ont jamais prise au sérieux auparavant.
L’image véhiculée pour la découverte de futures failles aussi critiques est vraiment mauvaise.
Le 21/12/2015 à 15h43
Jusque là j’avais compris la version de Facebook. Effectivement, si dans les fait c’est la version du chercheur la vrai, c’est assez mal venu de la part de Facebook.
Pas très clair cette histoire…
Le 22/12/2015 à 15h17
Le 22/12/2015 à 16h52
C’est surtout qu’il faut se connecter avec un compte Facebook pour reporter un bug et qu’on accepte alors de partager un certain nombre d’information de son profil, tout comme lorsqu’on donne l’accès à une application externe.
Après quand tu es Facebook tu as théoriquement accès à tous les détails des comptes, ce n’est pas un hébergement zero-knowledge afin de permettre un data-mining sur lequel se base leur business. Mais pas dit que ça soit facile de le faire, même si on est haut placé comme Alex Stamos : il doit y avoir de nombreuses protections pour éviter que n’importe quel employé puisse espionner qui il veut, ne serait-ce que pour éviter que leur propriété intellectuelle (nos informations) ne puisse être exfiltré au profit des concurrents.
Le 23/12/2015 à 17h57