Instagram : un chercheur a trouvé une faille, mais serait allé trop loin selon Facebook

Instagram : un chercheur a trouvé une faille, mais serait allé trop loin selon Facebook

Données personnelles ou pas données personnelles ?

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

18/12/2015 6 minutes
81

Instagram : un chercheur a trouvé une faille, mais serait allé trop loin selon Facebook

Un chercheur en sécurité a trouvé plusieurs failles de sécurité sur l’un des serveurs d’Instagram. Elles étaient suffisamment sérieuses pour lui permettre d’accéder à l’ensemble des données stockées par le service de partage de photos. Mais cet accès a créé une réelle tension avec Facebook : pour la société, le chercheur est allé trop loin.

Le chercheur Wes Wineberg a reçu de la part d’un ami une information intéressante : l’un des serveurs d’Instagram, sensu.instagram.com, contenait potentiellement une faille de sécurité. Il s’est donc penché sur la question, et a effectivement trouvé une brèche. Exploitable à distance, elle résidait dans la manière dont le service générait des cookies pour se souvenir de la connexion de l’utilisateur.

Plus précisément, le problème réside dans la conjonction de deux facteurs. D’un côté, le serveur utilisait un jeton secret de sécurité codé en dur. De l’autre, ce même serveur utilisait une version de Ruby (langage de script) connue pour abriter une faille autorisant une exécution arbitraire de code. Exploitant ces deux facteurs, le chercheur a finalement été en mesure de récupérer de nombreuses informations, dont les identifiants d’utilisateurs et d’employés et différents fichiers de configuration.

Creuser, jusqu'à mettre la main sur l'intégralité des données personnelles

Il aurait pu s’arrêter là, mais il a décidé de poursuivre son enquête. En creusant dans les fichiers de configuration, il a fini par trouver des clés relatives à des comptes Amazon Web Services, ces derniers étant utilisés par Instagram pour l’ensemble de son fonctionnement. En allant un peu plus loin, il est finalement tombé sur un jeu de clés lui ouvrant les portes des 82 instances de stockage Amazon S3. Or, ces instances ne contenaient rien de moins que la totalité de ce qu’Instagram pouvait héberger : son propre code source, les certificats SSL, les clés privées, celles liées aux API pour leur exploitation par des services tiers, l’ensemble du contenu statique du site web, les clés de signature pour les applications mobiles et surtout la totalité des photos et vidéos chargées par les utilisateurs dans le service.

Dans son blog (inaccessible pour l'instant), le chercheur explique que ces clés lui ont tout simplement permis d’obtenir tout le contenu d’Instagram, ce qui posait un sérieux problème : « Avec les clés que j’ai obtenues, je pourrais tout à fait imiter Instagram, ou n’importe quel utilisateur valide ou membre du personnel. Bien que ce soit hors-sujet, j’aurais pu facilement obtenir l’accès complet à n’importe quel compte, image ou donnée d’un utilisateur ». Les mots de passe sont pourtant chiffrées via bcrypt, Instagram n’ayant clairement pas choisi le premier algorithme venu pour sa sécurité. Mais comme indiqué par Wineberg, trop de comptes utilisent des mots de passe très faibles, et il lui a donc été facile d’en déverrouiller une douzaine rapidement.

instagram wineberg amazon
Crédits : Wes Wineberg

Pour Facebook, Wineberg est allé beaucoup trop loin

Malheureusement pour lui, Facebook – qui possède Instagram – est clairement mécontente de cette situation. Non pas que l’entreprise renie le travail accompli par le chercheur, mais elle estime qu’il est allé beaucoup trop loin dans son enquête. En effet, Wineberg n’avait pas besoin selon elle d’aller jusqu’à fouiller dans les instances de stockage Amazon pour prouver que la faille était exploitable. La récupération initiale des fichiers de configuration et des identifiants était largement suffisante. En accédant aux données des utilisateurs, le chercheur aurait donc commis une erreur, brouillant passablement la situation.

Et la situation est en effet brouillée. Si l’on en croit Alex Stamos, le responsable de la sécurité chez Facebook, le chercheur a bien fait une erreur. Tout allait bien initialement : Wineberg avait prévenu pour la faille et montré son exploitation pour obtenir les identifiants et fichiers de configuration. Il avait contacté Facebook en utilisant l’adresse de la société Synack pour laquelle il travaille. Le réseau social l’avait informé qu’il recevrait 2 500 dollars en récompense de cette trouvaille, avec autorisation d’écrire un billet de blog sur sa découverte.

Exfiltrer des « quantités non nécessaires de données personnelles »

Selon Stamos, c’est à ce moment que les choses ont déraillé. Wineberg aurait affiché son mécontentement face à une somme qu’il jugeait trop faible. Il aurait donc continué à creuser, jusqu’aux découvertes qui ont fait grincer des dents chez Facebook, indiquant au passage qu’il rédigerait un billet complet avec ces nouvelles informations. Stamos aurait donc appelé le PDG de Synack, Jay Kaplan, pour l’informer non seulement que Wineberg allait trop loin, mais également que cette action établirait un impossible précédent s’il était autorisé : pas question de laisser les chercheurs exfiltrer des « quantités non nécessaires de données personnelles dans le cadre d’une recherche de bug ».

Ici, Wes Wineberg indique sur son blog que Stamos a menacé Kaplan de poursuites, ce que le responsable de la sécurité dément. Il aurait indiqué préférer laisser cette affaire en-dehors des mains des avocats et à aucun moment n’aurait demandé à ce que l’employé de Synack soit licencié. De son côté, Jay Kaplan aurait indiqué que les actions de Wineberg n’avaient pas été ordonnées par l’entreprise, cette dernière cherchant donc à se désengager de l'épineuse situation.

Le problème des conditions de la chasse aux bugs

Il y a donc clairement deux visions très différentes de l’affaire. D’un côté, le chercheur estime avoir été menacé par Facebook, jusqu’à appeler son patron pour faire pression. De l’autre, Facebook pense avoir respecté la chaine hiérarchique, dans la mesure où Wineberg utilisait son adresse professionnelle pour communiquer. Alex Stamos insiste sur l’idée que le vrai problème était la publication de ce billet de blog, puisque le contenu sortait des lignes de conduite réclamées par le programme de chasse aux bugs de Facebook : les données personnelles des utilisateurs ont été inutilement mises en danger. Wineberg assure pour sa part que toutes les manipulations ont été faites de manière responsable.

Actuellement, il semble en tout cas que Wes Wineberg connaisse bien les conditions de cette chasse aux bugs. Telles qu’indiquées sur le site de Facebook, elles ne précisent nulle part qu’un chercheur ne peut creuser plus loin à la recherche d’autres problèmes dès lors qu’il en a trouvé un premier. Il existerait donc un flou entre ce que Facebook pense vouloir imposer dans ses règles et ce qui est clairement indiqué, ce qui expliquerait sans doute le choc des deux visions. Il n’est donc pas impossible que ces conditions de participation changent rapidement.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Creuser, jusqu'à mettre la main sur l'intégralité des données personnelles

Pour Facebook, Wineberg est allé beaucoup trop loin

Exfiltrer des « quantités non nécessaires de données personnelles »

Le problème des conditions de la chasse aux bugs

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (81)




Si l’on en croit Alex Stamos, le responsable de la sécurité chez Facebook, futur chomeur


Je ne suis pas compétent techniquement pour en juger, mais si le fait d’avoir poussé n’est qu’une exploitation ‘au bout’ de la faille, et qu’elle révèle pas d’autre problèmes, alors je ne vois pas quel argument il peut utiliser pour se défendre.

A partir du moment où il exploite une faille pour son profit personnel, son chapeau s’assombrit dramatiquement. Je ne comprends pas comment il a pu croire qu’il s’en tirerait.


Si c’est vrai que Facebook lui a proposé 2500$ et que c’est après qu’il est allé “plus loin” là il est vraiment difficilement défendable …



Pour le coup, on est à la limite de l’extorsion de fonds …


S’il aurait pas été “jusqu’au bout”, Facebook n’aurait même pas levé le petit doigt … La réaction de Facebook n’est qu’une posture pour dire “vous voyez ! on fait gaffe à vos données perso” rien d’autre. Il faut bien rassurer les actionnaires.


Bravo Facebook, qui va devoir déjà gérer cette affaire et voir de plus en plus de “chercheur” s’intéresser à ce bug…

Il on pas beaucoup de marge pour corriger ça, voir c’est déjà trop tard, client instagram, fuyez !!


Et dire que ce n’était pas la première fois que la faille avait été signalée…&nbsp;<img data-src=" />


ils voulaient pas payer le surplus pour les infos qu’il a pu trouver facilement surement? C’est vrai quoi, pourquoi devoir corriger l’iceberg afin de réellement sécuriser les données, plutot que de se contenter de la partie visible?








feuille_de_lune a écrit :



S’il aurait pas été “jusqu’au bout”, Facebook n’aurait même pas levé le petit doigt … La réaction de Facebook n’est qu’une posture pour dire “vous voyez ! on fait gaffe à vos données perso” rien d’autre. Il faut bien rassurer les actionnaires.





Facebook l’ayant autorisé par écrit de publier un article détaillant le bug, j’ai du mal à croire qu’ils avaient prévu de ne rien faire. Il serait intéressant de connaitre les dates des différentes étapes pour se faire une idée.







atomusk a écrit :



Pour le coup, on est à la limite de l’extorsion de fonds …





Je suis pas sûr que ton ‘à la limite’ soit pertinent <img data-src=" />



c’est qu’en meme bizarre

il y a des “chercheurs” de bugs qui n’hesitent pas a demander des M\( pour les failles qu'ils arrivent a trouver

sinon ils les mettent a disposition du tout venant .... on ne crie pas haro en les mettant sur le bucher



ici il y a un chercheur au seing qu'une entreprise qui trouve une faille critique 0days

Facebook lui donne "genereusement" 2 500\)


le chercheur trouve que ce n’est pas assez (surtout pour une telle faille … il aurait pu negocier ca avec la NSA ^^)

met le processus de la faille sur un blog

et Pof … “tout le monde” trouve ce type degeulasse et le traite d’arnaqueur …



Moralité il vaut mieux etre un e….é de Hacker pres a faire de l’extortion, qu’un chercheur qui trouve une failles


ca reste pas si simple, parce que pour moi il voulait prouver que c’était une faille critique en prouvant que il avait acces à tout, alors que j’imagine que Facebook voulait juste payer pour une faille “importante” … donc c’est plus de la gourmandise de sa part j’aurai dit …



mais dans un jugement … ça sera difficile a défendre …


j’aurai dit plutot futur taulard <img data-src=" />


en soit les deux ont raison

2500$ c’est vraiment peanuts

et il aurait pas du chercher tout cela



dur à trancher



pour ma part je me dirais que ca dépend si il a fait qqe chose des sources et autres données trouvées. si il les a gardé pour lui ou non


Il a simplement voulu montrer que la faille n’était pas à prendre à la légère, on l’a pas prix au sérieux, il l’a prouvé. Je ne pense pas qu’on puisse lui reprocher grand chose, surtout que son mécontentement pour la somme proposée s’avère justifiée. De l’autre côté on contacte son patron pour lui mettre la pression…&nbsp;








Théo_Nath a écrit :



Il a simplement voulu montrer que la faille n’était pas à prendre à la

légère, on l’a pas prix au sérieux, il l’a prouvé. Je ne pense pas qu’on



puisse lui reprocher grand chose, surtout que son mécontentement pour      



la somme proposée s’avère justifiée. De l’autre côté on contacte son

patron pour lui mettre la pression…&nbsp;







Dans n’importe quel travail, si un mec ne fait pas ce que tu veux et que tu estimes que tu as raison, tu passes par son supérieur.



Ce n'est pas mettre la pression que de faire les choses en règle.&nbsp;








Abused a écrit :



c’est qu’en meme bizarre

il y a des “chercheurs” de bugs qui n’hesitent pas a demander des M$ pour les failles qu’ils arrivent a trouver

sinon ils les mettent a disposition du tout venant …. on ne crie pas haro en les mettant sur le bucher





A bon ? Si tu demandes des millions ou alors tu dévoiles la faille ça s’appel de l’extorsion et c’est condamnable par la loi. Et je doute que ce soit soutenu par grand monde.









atomusk a écrit :



j’aurai dit plutot futur taulard <img data-src=" />





le chercheur ira en prison, le responsable de la secu ira au chomage



En France, à partir du moment où tu entres dans un système en ayant conscience que tu n’as rien à y faire, tu es condamnable (les détails peuvent varier, mais c’est sensiblement la même chose partout). Les systèmes de bug-bounty c’est un ‘cadeau’ fait pas les éditeurs aux hackers qui sont gentils avec eux, rien ne les y oblige. Ils pourraient directement attaquer en justice si ça les amusaient. Un échange de bons procédés en quelque sorte.

A partir du moment où le hacker juge que le cadeau n’est pas assez gros et va fouiller au delà de la tolérance de Facebook, c’est selon les cas soit de la vengeance, soit du chantage. Dans les deux cas, c’est difficilement défendable, aussi bien moralement que juridiquement.

Le seul truc qui peut jouer pour lui, c’est si l’a fait pour forcer Facebook à corriger le problème plus vite. Et encore, ça joue pour lui du point de vu de l’image, pas de la loi.


il est évident qu’il est dans la merde <img data-src=" />








Zerdligham a écrit :



En France, à partir du moment où tu entres dans un système en ayant conscience que tu n’as rien à y faire, tu es condamnable (les détails peuvent varier, mais c’est sensiblement la même chose partout).





Idem au Canada : légalement tu pourrais laisser ton accès WiFi sans aucune sécurité, personne n’a le droit de l’utiliser. Pour quoi ça n’arrive pas ? Parce que qu’ici l’illimité n’existe que peu et de toute façon très coûteux.



A sa place, j’aurais pas hésité.



Quand une entreprise comme FB refuse de faire son boulot, d’admettre ses erreurs et joue les pingres alors qu’ils brassent des milliards, il ne reste plus qu’à les remettre en place et leur faire comprendre que leur château de cartes n’est pas si solide que ça.



Le chercheur a été beaucoup trop gentil avec eux.


En meme temps fb veux recomposer le “chercheurs des failles”, que de 2500 dollars. Ces sures, que ces chercheurs, ils se grattent avec… Autant vendre ses trouvailles sur le darknet car a ce qu’on dis, ca paye bien las-bas. Sur une boite qui brasse des milliards, c’est comme ca qu’on paye les gens qui font le travail a leur place…


Sauf que la situation n’est pas comparable, déjà parce que le travail effectué a été fait sur le temps libre du chercheur, donc son patron n’avait aucunement a être contacté pour cette affaire. Et puis mettre les choses “en règle” ? Sérieusement, chez Facebook, ils ont vraiment de la chance que le chercheur ne cherchait pas à les nuire vu le niveau plus que critique de ce qu’il a découvert. Sans parler de la mauvaise presse que ça fait aux prochains qui risquent de tomber sur le même type de faille.&nbsp;



Dans tous les cas, ce que je trouve le plus grave, c’est que le chercheur soit obligé d’aller aussi loin pour que sa trouvaille soit réellement pris en considération. C’est ça le professionnalisme d’une des entreprises les plus grosses du monde informatique ? Et bah, bravo Facebook, vraiment. <img data-src=" />&nbsp;


c’est quand même malheureux que certain s’étonnent qu’il soit allé au bout de sa découverte.Il est bien normal qu’il termine sa démonstration.

Et le payer 2500\( pour cette société qui tire tous ses profits de la vie privée des gens...250 000\) aurait été un minimum,car la faille semble monstrueuse!!

il en faudrait plus des messieurs Wineberg (ca veut dire un bloc de vin gélé flottant??) afin de prouver que laisser sa vie privée aux mains des profiteurs cela peut être dangereux.


2500 Dollas <img data-src=" />


Le mec est allé un peu loin mais ca reste correct si on veut pouvoir établir la criticité de la faille.

Je veux dire : tu découvres une faille qui permet de s’authentifier sur un compte en déjouant le mot de passe… $2500, serrage de paluche , merci mon gars.

Là le mec découvre une faille… les clés de l’enfer d”Instagram ! Faille méchamment critique qui vaut plusieurs million de dommage potentiel pour Instagram <img data-src=" /> Réaction : M. est allé trop loin.



Il n’est pas allé trop loin, il a juste établi que la faille était plus que critique… la faille absolue en fait <img data-src=" />

Et il n’a rien pris apparemment, il a juste dit qu’il avait accès à tout et qu’il pouvait donc tout prendre… ou tout foutre en l’air. J’imagine que pour tout prendre (dl) il faudrait quelques semaines, même avec la fibre <img data-src=" />


Comme d’hab, avant de critiquer, faut regarder les sources, les articles NXi n’étant que des résumés. Et plus particulièrement Vincent qui ne s’embête pas trop avec les détails que les trolls aiment tant. Dommage qu’il ait perdu sa Sword.



La somme de 2500\( est expliqué, et l'explication se tient. De fait, 2500\) pour dire après la bataille qu’un soft n’est pas à jour, c’est pas si mal payé…








Abused a écrit :



c’est qu’en meme bizarre







Ah ouais, qu’en même !



#bleedingeyes









Bejarid a écrit :



Comme d’hab, avant de critiquer, faut regarder les sources, les articles NXi n’étant que des résumés. Et plus particulièrement Vincent qui ne s’embête pas trop avec les détails que les trolls aiment tant. Dommage qu’il ait perdu sa Sword.




La somme de 2500$ est expliqué, et l'explication se tient. De fait, 2500$ pour dire après la bataille qu'un soft n'est pas à jour, c'est pas si mal payé...







Je trouve aussi les 2500$ justifiés pour la faille de base, mais je pense que le chercheur voulait montrer d’autres soucis dans la configuration des serveurs ou des différents accès. Quand on y pense c’est assez hallucinant qu’en chopant un accès sur un serveur web au hasard tu arrives à prendre le contrôle total sur le site web. À mon avis il y d’autres soucis niveau configuration/séparation des données et il espérait rajouter des fautes à la faille de base.









Niktareum a écrit :



Ah ouais, qu’en même !



#bleedingeyes







C’est bien beau de se moquer, mais t’aurais comme même pu lui dire comment ça s’écrit vraiment.



“De fait, 2500$ pour dire après la bataille qu’un soft n’est pas à jour, c’est pas si mal payé…”



Heu, moi de ce que j’en comprends on a quand même un problème d’architecture quand une bête faille sur le ruby de ton frontend te permet de perdre toute ton infra. Il y a une erreur de conception pour cloisonner les choses, non?



C’est ce 2e point qui a été mis en valeur dans un second temps indépendamment du fait que le frontend puisse être bâclé. Un bête bug de frontend + une archi merdeuse = jackpot à chaque faille découverte.



Dites moi si je me trompe…









C’est ce que j’ai compris aussi.

Après le côté limite de l’action du chercheur c’est qu’il a téléchargé des instances AWS en masse pendant la nuit, instances qui contenaient des données utilisateurs. Il précise qu’il n’a pas fouillé dedans et qu’il s’est concentré sur la découverte de tout le code interne et des certificats de sécurité d’Instagram mais le fait est qu’il a tout téléchargé sur son PC à lui. Et il semble y avoir un mauvaise définition des actions à effectué dans ce cas là (de façon similaire en France avec l’affaire Bluetouff). J’aurais envie de dire que dans ce cas là l’intention du chercheur n’était certainement pas mauvaise (il avait vraiment moyen de porter un coup très dur à Instagram, semblable voir supérieur au piratage d’HashleyMadison) et que donc Facebook devrait se calmer un peu et l’écouter.


<img data-src=" /> de confirmer ma compréhension vague de la tentative du noyage de baleine.



Le problème qu’il soulève n’est pas lié au législatif, sur lesquels facebook aurait raison, mais bien autrement et hasardeusement sur la faute grave d’un point de vue sécurité de l’architecture.



Comme dit Aloyse57







Aloyse57 a écrit :



Idem au Canada : légalement tu pourrais laisser ton accès WiFi sans aucune sécurité, personne n’a le droit de l’utiliser. Pour quoi ça n’arrive pas ? Parce que qu’ici l’illimité n’existe que peu et de toute façon très coûteux.





Le fait de ne pas sécuriser ton accès internet en France est soumis à Hadopi, et peut être bientôt une amende.

Par contre pour ces gens là, le fait de ne pas fermer la porte à clef n’est pas un pb pour les assurances, mais au delà ce n’est pas non plus un pb légal?

<img data-src=" />



“Lorsque le sage pointe la lune, l’idiot regarde le doigt”… <img data-src=" />



Plus sérieusement, dans ses histoires chacun a sa version, donc difficile de peser le pour et le contre. Mais si Weinberg ne pouvait pas se contenter des 2500$, j’aurais pu les recevoir à sa place. :P

J’espère juste que du côté de Facebook/Instragram la faille est corrigée au milieu de tout cela. ^^


En Amérique du Nord il n’y a pas de volets aux fenêtres et les portes tiennent juste sur une pauvre serrure à 1 point qu’un enfant peut ouvrir avec un trombone (j’exagère mais à peine). De toute façon les maisons sont à ossature en bois, donc un coup de pied et on en parle plus (comme dans les films).

Etrange que dans un pays ultra violent comme les USA, cette habitude demeure.


Mais pourquoi souligner cette faute en particulier ? <img data-src=" />


C’est aussi ce qui m’a surpris en Belgique et aux Pays Bas, les jardins sont ouverts et sans haie, les salons sont sans rideaux, et la lumière reste allumée toute la nuit pour montrer l’accueil.



Alors que par ici dans le sud de la France, la logique est plutôt à se calfeutrer déjà au niveau de la visu jardin depuis l’extérieur, puis remettre une couche de pièges à loups dans le jardin, ensuite renforcer la frontière habitat-jardin et ne pas montrer la lumière, et enfin mettre des alarmes d’intrusions au cas ou tout le reste a foiré avec intervention dans la 1/2h.



Bref, c’est pas le même monde.

<img data-src=" />


2500 dollars <img data-src=" />

Vu la criticité du problème, j’aurais mis 2 ou 3 zéros de plus sur le chéquier..


C’est marrant de voir comment FB change de posture en 2012 il disait “If there’s a million-dollar bug, we will pay it out,”&nbsp;



perso je pense qu’il y une erreur de jugement par le RSI de FB sur l’importance de la faille, car franchement 2500$ sa peux paraître bcp, mais c’est peux quand on voit qu’au final il a basiquement rooter toute l’infra d’instagram, c’est super moche.



il aurait du lui offrir plus ou avoir une discutions plus moderne/ouverte (c’est pour moi le cas basique de deux IT en désaccord ).



personne a parler du bug de grub :P


C’est surtout complètement con de la part de Facebook/Instagram. Le message envoyé au public, c’est: “si vous trouvez une faille ultra critique pour permet de compromettre l’intégralité de notre infra, si vous voulez du pognon, vendez ça à la NSA ou à la mafia russe, mais nous, on vous filera juste un paquet de cahouèttes et une tape sur l’épaule”.

Enfin, il est juste scandaleux qu’une faille sur un frontend compromette l’intégralité d’une infra. L’architecte qui a mis ça en place devrait retourner jouer aux billes. Et de fait, le mec a eu raison de continuer. L’architecture en elle même constitue la seconde faille, qui vaudrait donc, à minima un second chèque de 2500$ en suivant la logique de facebook.








Gundar a écrit :



C’est bien beau de se moquer, mais t’aurais comme même pu lui dire comment ça s’écrit vraiment.





<img data-src=" />



<img data-src=" />


Il s’en sortira s’il a récupéré des photos compromettantes du juge !

Sinon Facebook aurait dû le payer Ruby sur l’ongle.


Le mec à eu raison, 2,5K pour un truc comme ça. N’importe quoi.








Z-os a écrit :



Mais pourquoi souligner cette faute en particulier ? <img data-src=" />





Parce que je n’ai pas lu la suite…









Gundar a écrit :



C’est bien beau de se moquer, mais t’aurais comme même pu lui dire comment ça s’écrit vraiment.







Quand un homme a faim, mieux vaut lui apprendre à pêcher que de lui donner un poisson.



Si j’avais dit d’aller chercher sur google, tu me serais tout autant tombé dessus…



Le bug avait déjà été rapporté par d’autres.



Il a ensuite fait du chantage voire de l’extorsion en utilisant la faille pour aller plus loin dans le système (sans utiliser ni découvrir d’autre faille) pour construire un rapport de force pour obtenir plus qu’offert par Facebook.



Malgré le chantage, Facebook a continué de proposer de payer le chercheur, en demandant simplement&nbsp; de ne publier que sur la faille elle même.



Il est 100% en tort autant du point de vu moral que du droit.


Le message : si vous découvrez une faille déjà connue et que vous l’exploitez pour faire du chantage, Facebook ne vous suivra pas.


Pas exactement, la première faille qu’il a rapporté était déjà connu, il a ensuite à partir de la première poussé l’investigation plus loin car le responsable de chez facebook ne donnait pas beaucoup de considération à ce qu’il avançait. Du coup, il a du lui prouvé que ce n’est pas des cracks, avec la suite qu’on connait… Sachant que s’il était réellement mal intentionné, qui sait ce qui aurait pu se produire ?&nbsp;


Payer 2.500\( pour une petite faille les cookies.: ok, c'est cool, ca donne une bonne image.

Payer 25.000\)
pour un accès illimité a l’infrastructure: non, c’est pas bon, ca donne une mauvaise image.



Moralité: le bug-bounty c’est davantage un programme de communication que de sécurité.








barlav a écrit :



Dites moi si je me trompe…





Quand t’as prit un raisin d’une grappe AWS, le reste vient avec, je crois pas qu’ils puissent faire mieux en l’état.



Instagram n’est pas vraiment un service critique (c’est pas fait pour héberger des photos compromettantes…), donc j’imagine que le cout engendré par un découpage fin (et la démultiplication des requêtes qui va avec) sur une infra dédié n’est pas justifié.



Bonjour,

Je dirai plutôt bonne chance au chercheur en espérant qu’il gagne son procès. C’est évident que Face ne voulait pas payer et ils ne sont pas à leur premier coup d’essai. Souhaitons que le juge puisse le suivre dans sa logique. Ce n’est pas impossible si c’est bien développé.

Attendons de voir.


Ok, je comprends bien qu’instragram ou nextINpact ne soient pas classés ni OIV ni “à grand risque financier” en cas de perte de contrôle, et qu’on ne mette pas la même énergie à protéger les données.



Mais dans ce cas, pourquoi ne pas assumer la chose, et dire qu’il n’a rien piraté puisque tout est public?

Ce qu’il a fait est donc un banal piratage, qui montre juste que la société ne défend pas ses datas.

Pourquoi ce n’est pas assumé par la société, de dire que ce n’est pas grave et qu’il n’y avait rien à défendre?








127.0.0.1 a écrit :



Payer 2.500\( pour une petite faille les cookies.: ok, c'est cool, ca donne une bonne image.

Payer 25.000\)
pour un accès illimité a l’infrastructure: non, c’est pas bon, ca donne une mauvaise image.



Moralité: le bug-bounty c’est davantage un programme de communication que de sécurité.





Le pire, c’est probablement exactement ça.



Attendez quand même, il a trouvé une faille qui permet d’accéder à toutes les données d’instagram. Certes il a voulu être gourmand mais uniquement en travaillant davantage pour montrer qu’il y avait de très grosses failles critique et encore “critique” c’est un euphémisme!!



À la place de facebook, j’aurai fermé ma gueule et commencé à négocier avec ce chercheur afin de combler rapidement cette immense faille!


En même temps, ce n’est pas comme si toutes les données des utilisateurs avaient vocation à être publiques. J’imagine d’ailleurs que des clichés compromettants/sulfureux pourraient être découverts sans grand mal…



Et puis c’est sans compter aussi sur ce petit détail complètement insignifiant… <img data-src=" />





  • iOS and Android app signing keys

  • iOS Push Notifications keys

    Suis-je donc le seul à être choqué de voir que genre d’informations se retrouve sur des serveurs destinés à l’hébergement des données accessibles à distance ? Ça reviendrait un peu à y stocker les clés privées de portefeuilles Bitcoin bien garnis, les conséquences économiques directes en moins, mais l’INpact global sur le long terme en plus selon l’usage qui pourrait en être fait et cela n’exclue donc pas, in fine, de lourdes conséquences financières.



    À mon sens, c’est là l’une des véritables failles de sécurité annexes à celle de départ.



    Même si la question de savoir si, légalement, le chercheur aurait dû aller si loin peut se poser, le travail d’investigation qu’il a accomplit a le mérite d’avoir mis en lumière un certain nombre de manquants potentiellement préjudiciables s’ils venaient à être exploités par des personnes mal intentionnées. Sans cela, on n’aurait sans doute jamais eu vent de l’existence d’une telle brèche, et Instagram n’en aurait peut-être même pas eu conscience. En somme, il a agit comme une sorte de « découvreur–lanceur » d’alerte.








cedricpc a écrit :



Même si la question de savoir si, légalement, le chercheur aurait dû aller si loin peut se poser, le travail d’investigation qu’il a accomplit a le mérite d’avoir mis en lumière un certain nombre de manquants potentiellement préjudiciables s’ils venaient à être exploités par des personnes mal intentionnées. Sans cela, on n’aurait sans doute jamais eu vent de l’existence d’une telle brèche, et Instagram n’en aurait peut-être même pas eu conscience. En somme, il a agit comme une sorte de «&nbsp;découvreur–lanceur&nbsp;» d’alerte.





Le principale problème de Facebook c’est que le mec a téléchargé tout ça chez lui. Ok les serveurs n’étaient pas parfaitement étanche, mais que dire du PC du chercheur ? Quelqu’un lui pique son portable, fait une récup de fichiers, et voilà tout fuite !



C’est irresponsable d’extraire des données de prod d’un serveur sécurisé. Tu peux t’y promener, mais pas te mettre à télécharger les backups…



Après, Instagram est également irresponsable d’utiliser son serveur de prod pour stocker des éléments de build (plein de clés qui n’ont rien à voir avec l’exploitation pour le coup), mais ça ne rend le comportement du chercheur qu’encore plus dangereux, ça ne l’excuse pas. Et Instagram n’étant qu’une start-up qui s’est fait racheté, des amateurismes de ce genre ne doivent pas être rare si on creuse…



J’ai lu l’article de blog du chercheur, franchement, Facebook joue la mauvaise foi.

Le chercheur a communiqué sur tout ce qu’il faisait. Les mecs en face lui envoie des petites phrases toutes faites et ferme le ticket un jour sur deux sans raison et sans réponse.



S’ils ne veulent pas que le mec s’amuse avec leur infra, il n’avait qu’à le dire explicitement dans les règles whitehat, ou dans leur première réponse.








Winderly a écrit :



Le pire, c’est probablement exactement ça.





Euh… C’est probable ou exact ?

Enfin, je veux dire, c’est pas improbable ou pas inexact ? <img data-src=" />





En fait, c’est peut-être certainement ça <img data-src=" />



C’est justement en fouillant dans les buckets S3 qu’il a découvert une seconde paire d’identifiants qui lui ont ouvert le royaume. Et ça a bien mis en évidence un second problème de sécurité (escalade de privilèges énormissime). Alex fait semblant de ne pas comprendre pour ne pas perdre trop la face


Imaginez la horde de hackers expérimentés qui exploitent cette faille depuis des années, ça fait quand même peur :s








Niktareum a écrit :



Euh… C’est probable ou exact ?

Enfin, je veux dire, c’est pas improbable ou pas inexact ? <img data-src=" />





En fait, c’est peut-être certainement ça <img data-src=" />





Oui mais quand j’ai dit exactement je pensais en idée de précision, pas de justesse.

Je veux dire, pour moi exact n’est pas le contraire de faux (logiquement pour personne mais bon, je peux me tromper).

Enfin bref, je suis heureux pour toi que ça t’aie fait rire.









Zumb a écrit :



C’est surtout complètement con de la part de Facebook/Instagram. Le message envoyé au public, c’est: “si vous trouvez une faille ultra critique pour permet de compromettre l’intégralité de notre infra, si vous voulez du pognon, vendez ça à la NSA ou à la mafia russe, mais nous, on vous filera juste un paquet de cahouèttes et une tape sur l’épaule”.

Enfin, il est juste scandaleux qu’une faille sur un frontend compromette l’intégralité d’une infra. L’architecte qui a mis ça en place devrait retourner jouer aux billes. Et de fait, le mec a eu raison de continuer. L’architecture en elle même constitue la seconde faille, qui vaudrait donc, à minima un second chèque de 2500$ en suivant la logique de facebook.





Je rejoins complètement ton avis. En jouant les pingres ils donnent une très mauvaise image. SI le chercheur est condamné à l’issue du procès on peut même se demander si ça ne va pas ralentir la mouvance white hat…



Ben “exact” a plus d’un sens (suffit juste de mater le dico).

Mais t’as pas tort dans le fond, juste la forme qui prête à confusion <img data-src=" />


Bon, j’avoue ne pas connaître le fonctionnement du nuage Amazonien mais dans tous les cas, je vois mal comment il serait possible d’y consulter des données sans les avoir téléchargé d’une manière ou d’une autre.



Dans son billet de blog, il indique effectivement avoir téléchargé des choses, mais il ne liste pas précisément lesquelles, si ce n’est qu’il « avoue » avoir mis en téléchargement des « buckets » mais on ne sait pas lesquels ni leur contenu. Et le responsable FB n’apporte aucune précision supplémentaire.



Donc en substance, on ne sait au final que très peu de choses, et si leurs relations ne s’améliorent pas, ce sera de toute façon à la justice de trancher. <img data-src=" />










Z-os a écrit :



Mais pourquoi souligner cette faute en particulier ? <img data-src=" />





2500$? <img data-src=" />



Comme tu t’es bien fait enfler le chercheur. Bien fait pour ta gueule. La prochaine fois n’oublie pas le lubrifiant <img data-src=" />








cedricpc a écrit :



Bon, j’avoue ne pas connaître le fonctionnement du nuage Amazonien mais dans tous les cas, je vois mal comment il serait possible d’y consulter des données sans les avoir téléchargé d’une manière ou d’une autre.





Si tu fais que de l’accès à distance (rdp/ssh) tu n’as que des aperçu (une image, une liste de nom de fichier…). Tu n’as pas tout qui est écrit sur ton disque dur, ça reste en RAM.



C’est quand même drôle qu’ils déclarent publiquement pouvoir payer 1 million de $ pour un bug et dès qu’il y en as effectivement un, il refuse de mettre, ne serais-ce que 2500…A ce compte la, ça va surtout inciter à exploiter les failles pour gagner (illégalement) de l’argent plutôt que les signaler…GG les gars c’est ce qui s’appelle prendre des mesures contre productives ça!


Oui, mais c’est justement ce à quoi je pensais en parlant de télécharger des données « d’une manière ou d’une autre ». Pour arriver dans la mémoire vive, il a bien fallu malgré tout télécharger les données en question. Le support final n’est qu’un petit détail technique, il pourrait d’ailleurs très bien avoir utilisé un disque virtuel que la problématique serait toujours la même.



Ce que n’est que pure spéculation de ma part, mais à mon avis, vu la quantité de données à laquelle il a eu à faire face, il était probablement beaucoup plus commode d’en extraire des pans entiers pour faire des analyses en local plutôt que de traiter des petits fragments les uns après les autres avec le risque de devoir en re-télécharger fréquemment.



Et encore une fois, sauf erreur de ma part, on ne sait au final que très peu de choses sur ce qu’il a véritablement téléchargé. En tout cas, le chercheur prétend avoir uniquement ciblé les « seaux » ne contenant justement pas de données personnelles des utilisateurs :



There were quite a few S3 buckets dedicated to storing users’ Instagram images, both pre and post processing. Since the Faceboook Whitehat rules state that researchers need to “make a good faith effort to avoid privacy violations”, I avoided downloading any content from those buckets.





Ce qu’Alex Stamos n’a visiblement pas été en mesure d’infirmer avec cet aveu en fin de billet :



we have no evidence that Wes or anybody else accessed any user data.


en france tu dois deviner que tu n’a rien à faire là, meme si les données sonten accès libre.


L’affaire n’est effectivement pas simple et le comportement du chercheur laisse à désirer.



Cela dit il n’a pas non plus fait de mal et les 2500$ sont très chiches, surtout pour une faille de cette ampleur.








Bejarid a écrit :



Le principale problème de Facebook c’est que le mec a téléchargé tout ça chez lui. Ok les serveurs n’étaient pas parfaitement étanche, mais que dire du PC du chercheur ? Quelqu’un lui pique son portable, fait une récup de fichiers, et voilà tout fuite !



C’est irresponsable d’extraire des données de prod d’un serveur sécurisé. Tu peux t’y promener, mais pas te mettre à télécharger les backups…



Après, Instagram est également irresponsable d’utiliser son serveur de prod pour stocker des éléments de build (plein de clés qui n’ont rien à voir avec l’exploitation pour le coup), mais ça ne rend le comportement du chercheur qu’encore plus dangereux, ça ne l’excuse pas. Et Instagram n’étant qu’une start-up qui s’est fait racheté, des amateurismes de ce genre ne doivent pas être rare si on creuse…







En téléchargeant tranquillement le contenu des serveurs tu montres aussi que la supervision est franchement légère <img data-src=" />



Ce qui sera difficile à défendre également c’est pourquoi la version du Ruby installée était dans une version connue pour être vulnérable. Pourquoi l’intrusion sur les instances Amazon n’a également pas été détectée ? Comment Wineberg a-t-il pu se connecter sur les serveurs via SSH ?



Bref tout semble indiquer que le niveau de sécurité d’Instagram laisse fortement à désirer. Alors certes il y a un manque d’éthique de la part de Wineberg mais une personne mal intentionnée ne se serait pas donnée la peine de prévenir avant d’entrer.


Il manquait au bas mot un 0 sur la prime.&nbsp;

En gérant bien, ce genre de faille peut réussir à se vendre jusqu’à 250 000€ à des services de renseignements.&nbsp;

Franchement si on me propose 2 500€ pour une faille en root sur une appli avec plus de &nbsp;400 millions d’utilisateurs, un accès au code et aux clefs, je met une backdoor et je vend ça au marché noir.&nbsp;



Ok c’est très proche de l’extorsion de fond, mais d’un autre coté cette (pas toutes)&nbsp;faille est une faute de l’entreprise vis à vis de ses clients, elle en est donc en partie responsable.&nbsp;








Théo_Nath a écrit :



Sauf que la situation n’est pas comparable, déjà parce que le travail effectué a été fait sur le temps libre du chercheur, donc son patron n’avait aucunement a être contacté pour cette affaire.





Il utilise son adresse pro pour communiquer avec Facebook, il est donc logique que FB croit qu’il fait ça à titre professionnel. D’ailleurs, son patron pourrait probablement le sanctionner pour usage illégitime de son adresse pro. Je serais son employeur, je ferais méchamment la gueule qu’un de mes employés se mettait à faire ce genre de conneries avec son adresse pro (indépendamment de ce que je pense de son action sur le fond).







rameaux a écrit :



en france tu dois deviner que tu n’a rien à faire là, meme si les données sont en accès libre.





Je suppose que tu fais référence à l’affaire Bluetouff? Si oui c’est pas tout à fait ça. Tu n’es pas obligé de deviner, mais si jamais tu devines, tu dois vite-vite partir de là (on est d’accord que ça reste assez flou).

Ce qui a perdu Bluetouff, c’est que son comportement ne collait pas avec quelqu’un qui n’avait pas conscience de ce qu’il fait. S’il s’était contenté de surfer et de lire quelques documents, il n’aurait probablement pas été condamné.



D’après le chercheur, il n’a pas communiqué avec Facebook via son adresse pro avant que sa boite soit contactée:

At no point before Alex Stamos contacted my employer did I use my work

email address. Only when replying to an email from Alex Stamos to my

employer did I use my work email

account. My Facebook profile does not include my employer, and none of

my actions would have indicated that I was participating on my employers

behalf.



De l’autre côté, Alex Stamos dit que le chercheur a utilisé son adresse pro:

At this point, it was reasonable to believe that Wes was operating on

behalf of Synack. His account on our portal mentions Synack as his

affiliation, he has interacted with us using a synack.com email address,

and he has written blog posts that are used by Synack for marketing purposes.



Là soit il y a quelqu’un qui ment, soit quelqu’un ne dit pas toute la vérité. Les propos du chercheur semblent plus précis mais pour savoir, il faudrait qu’Alex Stamos avance des preuves de ce qu’il avance.


Je crois surtout que le responsable sécurité chez FB tente de garder la face. Même si Wineberg est en tort légalement parlant, la faille est tellement critique qu’il fallait bien aller plus loin pour prouver l’importance de cette faille qu’ils n’ont jamais prise au sérieux auparavant.

L’image véhiculée pour la découverte de futures failles aussi critiques est vraiment mauvaise.


Jusque là j’avais compris la version de Facebook. Effectivement, si dans les fait c’est la version du chercheur la vrai, c’est assez mal venu de la part de Facebook.

Pas très clair cette histoire…








marsokod a écrit :



His account on our portal mentions Synack as his affiliation



Quand on est facebook, on a accès à un profil privé? vraie question, car je ne sais pas si le site peut être “ami” avec un de ses clients…



C’est surtout qu’il faut se connecter avec un compte Facebook pour reporter un bug et qu’on accepte alors de partager un certain nombre d’information de son profil, tout comme lorsqu’on donne l’accès à une application externe.

Après quand tu es Facebook tu as théoriquement accès à tous les détails des comptes, ce n’est pas un hébergement zero-knowledge afin de permettre un data-mining sur lequel se base leur business. Mais pas dit que ça soit facile de le faire, même si on est haut placé comme Alex Stamos : il doit y avoir de nombreuses protections pour éviter que n’importe quel employé puisse espionner qui il veut, ne serait-ce que pour éviter que leur propriété intellectuelle (nos informations) ne puisse être exfiltré au profit des concurrents.








Zerdligham a écrit :



Ce qui a perdu Bluetouff, c’est que son comportement ne collait pas avec quelqu’un qui n’avait pas conscience de ce qu’il fait. S’il s’était contenté de surfer et de lire quelques documents, il n’aurait probablement pas été condamné.





Si on veut être plus précis, ce qui a perdu Bluetouff, c’est qu’il a parlé trop facilement en garde à vue.



Quand t’es en garde à vue, tu ne parles pas. Tu attends ton avocat, tu attends d’avoir accès au dossier (et tu lance un procès si tu n’arrives pas à l’avoir, ça arrive et ça peut rapporter gros), tu laisses l’avocat se renseigner sur la législation dans le domaine, puis tu vois avec lui ce que tu peux dire.



Avant ça, tu ne dis rien. Sauf si tu veux te faire avoir, comme Bluetouff. Mais sinon, rien. Sauf “Bonjour”. Et encore.