Kromtech, éditeur de l’antivirus MacKeeper, laissait une imposante base de données ouverte aux accès extérieurs. La découverte a été faite par un chercheur en sécurité qui a averti l’entreprise sans la dévoiler avant sa trouvaille. Les accès sont maintenant verrouillés, mais on peut se demander combien de sociétés laissent ainsi ouvertes les portes menant parfois à des données sensibles.
MacKeeper est probablement l’un des antivirus les plus connus pour les Mac, mais pas toujours pour les bonnes raisons (publicités agressives, signalement de problèmes ne pouvant être réparés que par la version payante...). Il s’agit d’un marché assez spécifique dans la mesure où les menaces contre OS X ne sont pas nombreuses (mais en augmentation), mais beaucoup ne veulent pas prendre de risque, sans parler du phénomène de porteur sain : un Mac peut très bien stocker des malwares Windows, que l’on retrouve alors en pièces jointes ou sur des clés USB.
Un chercheur en sécurité qui s'ennuyait
Comme tous les éditeurs proposant des produits commerciaux, Kromtech dispose d’une base de données contenant les traces des achats de ses clients. Or, cette base de données particulière était ouverte aux quatre vents. Le chercheur en sécurité Chris Vickery est tombé dessus « par hasard » en cherchant, dans le moteur spécialisé Shodan, des objets connectés reliés à Internet. Il disait s’ennuyer et tapait des plages d’adresses IP au hasard, espérant rencontrer une connexion intéressante.
Il a fini par en trouver plusieurs qui menaient chez Kromtech, sans d’ailleurs savoir que cette entreprise existait. Il s’est simplement connecté à une base de données créée sous MongoDB et contenant pas moins de 13 millions de références clients, contenant les noms, adresses email, noms d’utilisateurs, mots de passe hachés, adresses IP, numéros de téléphone, renseignements techniques sur la machine faisant fonctionner MacKeeper, informations sur les licences et codes d’activation. Au total, 21 Go de données.
A priori, aucun autre accès n'a été détecté
Il a été surpris d’entrer en contact si rapidement avec une telle quantité de données, puisque la base ne réclamait ni nom d’utilisateur, ni mot de passe. Il a en tout cas averti Kromtech, qui a réagi très rapidement. En quelques heures, la base de données n’était plus accessible, après une deuxième correction qui faisait suite à une autre plage d’adresses IP trouvées. Par ailleurs, l’éditeur de l’antivirus signale que les clients ne sont pas en danger puisque la connexion de Chris Vickery semble être la seule à être venue de l’extérieur.
La société indique ainsi dans un communiqué : « Nous sommes reconnaissants envers le chercheur en sécurité Chris Vickery, qui a identifié le problème sans révéler d’informations techniques de manière publique. Nous avons corrigé l’erreur dans les heures qui ont suivi la découverte. Notre analyse du système de stockage des données montre qu’un seul individu a obtenu l’accès, le chercheur lui-même. Nous avons été en contact avec Chris et il n’a pas partagé ou utilisé ces données de manière inappropriée ».
Les informations liées aux paiements sont stockées ailleurs
L’éditeur précise également qu’en aucun cas des informations dangereuses n’auraient pu être volées. Par exemple, tout ce qui se touche à la facturation et aux paiements est géré par une autre entreprise. Il signale en outre que des mesures ont déjà été mises en place pour renforcer la sécurité de sa base de données et qu’une évaluation complète est en cours pour déterminer d’autres pistes d’amélioration.
Il se pourrait en fait que lesdites améliorations concernent le hachage des mots de passe. Sur le fil Reddit où il est intervenu, Chris Vickery indiquait hier qu’il lui semblait que Kromtech avait utilisé l’algorithme MD5, sans aucun salage. La société n’a pas confirmé ce point, et le chercheur ne semble pas en être certain, mais il s’agirait d’un manque crucial de sécurité, le hachage MD5 pouvant être cassé en quelques secondes avec les outils et la puissance adaptés, comme nous l’avions déjà signalé dans le cas du piratage de Vtech.
