Le chercheur en sécurité et pentester Gareth Heyes a découvert une vulnérabilité qui pourrait être utilisée pour lire les informations d’identification des utilisateurs de Mastodon.

Le chercheur en sécurité Gareth Heyes a réussi à trouver une vulnérabilité dans un fork client-serveur populaire d’infosec.exchange chez Mastodon. La vulnérabilité d’injection HTML a permis au pentester de lire les données de connexion des utilisateurs en temps réel.

Gareth Heyes : Comment j’ai pu voler des identifiants sur Infosec-Mastodon

La sécurité des utilisateurs Mastodon est étroitement liée au choix d’une instance Mastodon. L’une de ces instances actuellement très populaires est infosec.exchange. Le chercheur en sécurité et pentester Gareth Heyes s’est demandé à quel point les communications de la communauté infosec sur Mastodon étaient sécurisées et a en fait trouvé une faille de sécurité.

« Être autorisé à utiliser du code HTML lors de l’envoi de messages, qu’est-ce qui peut mal tourner? » déclare Heyes dans son article de blog. Et il avait raison. Avec l’aide d’une injection HTML réussie et après quelques essais et erreurs, il a réussi à manipuler le code en conséquence.

À partir de là, l’idée suivante du pentester n’était pas loin : « J’ai essayé de voler des mots de passe mastodonte via des formulaires. Bien sûr, vous pouvez insérer des éléments de formulaire via l’injection HTML, j’ai donc dirigé un formulaire vers portswigger-labs.net et testé que la soumission du formulaire fonctionnait. Il l’a fait, j’ai donc pu simuler le formulaire d’inscription.« 

La fonctionnalité de remplissage automatique de Chrome a soumis les informations d’identification sans aucune interaction de l’utilisateur

Le chercheur en sécurité a utilisé le navigateur Google Chrome pour démontrer à quel point la « fonction de remplissage automatique » d’un navigateur peut être dangereuse. « Mon prochain test était avec le remplissage automatique de Chrome – le mot de passe serait-il automatiquement rempli par Chrome ? Bien sûr, et sans aucune interaction de l’utilisateur !« 

Après que Gareth Heyes ait attiré l’attention du service de microblogging Mastodon sur la vulnérabilité, l’incident a immédiatement fait l’objet d’une enquête. Il s’est avéré que le logiciel de serveur glitch fork utilisé par infosec.exchange était responsable de la faille de sécurité.

Glitch et Mastodon ont maintenant été améliorés et la faille de sécurité a été comblée.

Le logiciel serveur alternatif « Glitch-Fork » est un bon exemple du fait que s’appuyer sur un logiciel serveur divergent n’est pas toujours la meilleure idée.

Parce que la question de savoir si vous pouvez faire confiance à l’instance respective de Mastodon (le serveur) ou plutôt au logiciel ou à l’opérateur est d’une importance capitale en ce qui concerne les risques de confidentialité et de protection des données avec le service de microblogging populaire.