Une faille permettait de télécharger le code source de Vine. Alors qu'elle a été identifiée par un hacker, la société nous explique l'avoir corrigée « dans les cinq minutes » en accordant au passage plus de 10 000 dollars de récompense.
Sur son blog, le hacker Avicoder annonce avoir récupéré un « dump » du code source de Vine. Il a signalé la faille à Twitter (propriétaire de la plateforme Vine) qui l'a corrigée très rapidement, ce qui nous a été confirmé par un porte-parole de la société.
Quand le code source de Vine était librement accessible
Avicoder explique qu'il a commencé à chercher plusieurs « points d'entrée », en commençant par identifier des sous-domaines à l'aide de divers moteurs de recherche. Il est ainsi tombé sur l'URL suivante : https://docker.vineapp.com. Celle-ci se contentait de renvoyer un message indiquant qu'il s'agissait d'un registre Docker privé. « S'il est censé être privé, alors pourquoi est-il accessible au public ? » se demande-t-il.
Il pousse alors ses investigations et finit par identifier et par pouvoir récupérer de nombreuses images Docker. Il télécharge celle identifiée sous le nom vinewww « juste parce qu'elle ressemble à un public_html et qu'elle peut contenir le code source Vine ». Bingo : « Je pouvais voir la totalité du code source de Vine, ses clés API, ses clés tierces ainsi que ses secrets. De plus, l'exécution de l'image sans aucun paramètre me laissait héberger une réplique locale de Vine » ajoute-t-il.
Une faille corrigée « dans les cinq minutes », 10 080 dollars de récompense accordés
Le hacker explique qu'il a remonté cette faille via la plateforme Hackerone le 21 mars 2016. Le 31 mars, l'explication complète de la faille était présentée à Vine, qui bouche la brèche très rapidement dans la foulée. Le 2 avril, une récompense de 10 080 dollars est attribuée au hacker.
Interrogé par nos soins, un porte-parole de Vine nous confirme que « ce problème a été résolu dans les cinq minutes après avoir été signalé à Vine via le programme Bug Bounty de Twitter ». Pour rappel, cela permet à des hackers de transmettre des failles de sécurité de manière responsable, laissant ainsi le temps à la société de résoudre le problème avant que la brèche ne soit rendue publique. Dans tous les cas, la société ajoute qu'elle a évidemment « pris des mesures de précaution comme la révocation et la réémission des certificats afin de veiller à ce que ses systèmes restent sûrs ».
Une histoire qui rappelle, une fois de plus, que la sécurité d'une plateforme ne tient pas qu'à son site principal, mais également à l'ensemble des sous-domaines et autres systèmes. Comme le dit l'adage, le niveau global de sécurité est défini par le niveau de sécurité du maillon le plus faible.
