Les failles, ce n'est pas que pour les autres. Nous avons récemment été touchés par le référencement de pages contenant le détail de cookies d'identification. Nous avons rapidement colmaté la brèche et réinitialisé la connexion de tous nos membres.
Vendredi dernier, un lecteur (merci à lui), a découvert que Google référençait des pages de notre système de remontée rapide d'erreur, Elmah. Elles contenaient dans quelques cas des cookies d'identification qui pouvaient permettre à un tiers d'usurper l'identité du membre concerné sur le site.
Théoriquement, elles n'auraient pas dû être indexées, notre configuration ne laissant l'accès qu'à un utilisateur et ces pages ne faisant pas l'objet de liens. Néanmoins, à cause d'un bug dans le processus de mise à jour d'Elmah, notre configuration a été écrasée et nos paramètres de sécurité réinitialisés. Google a de son côté réussi à trouver ces pages.
Suite à cette remontée, nous avons immédiatement débranché l'outil et demandé à Google de supprimer les pages concernées. Nous avons aussi réinitialisé tous les cookies d'identification de nos lecteurs ce lundi, en modifiant les clés de chiffrement utilisées. C'est ce qui explique que vous ayez eu à vous reconnecter ces derniers jours.
Notre analyse montre que la faille date d'au moins deux mois, mais qu'elle ne semble pas avoir été exploitée. Elle a néanmoins été colmatée et ne devrait désormais plus se reproduire.
Commentaires (105)
#1
#2
Donc changer notre mot de passe est inutile ?
#3
dans le doute … ;-) ça ne coute rien.
#4
à c’est ça la reconnexion, je pensais que ça venait de la nouvelle colonne de droite
" />
#5
Bon ben chacun son tour quoi
#6
La même
" />
#7
C’est inutile, dans la mesure ou de toute façon, les valeurs cookies étaient chiffrées ;)
#8
Notre analyse montre que la faille date d’au moins deux mois, mais qu’elle ne semble pas avoir été exploitée.
Put
#9
Pareil
#10
Merci pour la transparence
#11
ah ok
merci à la personne qui a pris le temps de remonter la faille et la transparence sur l’info que personne n’avait captée au final…
#12
#13
Il y a un lien entre le cookie d’identification et le mdp?
" />
Je croyais que c’était le genre de chose qu’on s’interdisait absolument.
#14
Merci pour la réactivité, la transparence, c’est chouette !
Certains devraient prendre exemple sur vous :)
#15
#16
Non aucun lien, le mot de passe n’est pas dans le cookie déchiffré non plus. mais certaines données contenues dedans peuvent être en lien avec, si l’utilisateur n’utilise pas un mot de passe fort ;)
#17
Du coup vous allez porter plainte contre la personne qui vous a prévenue pour avoir pénétré illégalement dans votre système d’information ?
" />
C’est une pratique courante
#18
Absolument pas, on lui a offert un abonnement d’un an
" />
#19
Le problème vient donc pas de NXI ? mais d’un outil tiers Elmah ?
" />
" />
Bien vu au découvreur de la faille
#20
#21
#22
Merci Google…
" />
#23
Tous les concernés ne vont pas forcément venir ici, vous avez prévu la même comm par e-mail à tous les inscrits ?
#24
Le pauvre, Google donne 10 000$ pour son bug bounty
" />
#25
Ces cookies ne marchaient pas même avant la réinitialisation de ce lundi, il fallait obtenir les derniers cookies directement de la page elmah.
(Je te voyais régulièrement dans les logs d’erreur ^^)
#26
Cela explique tous les commentaires racistes que j’ai pu poster depuis 2 mois.
" /> Ce n’étais pas moi mais un pirate
#27
merci pour la communication et au lecteur
" />
#28
#29
Elmah donné tous ses cookies
" />
#30
Je postais cela dans le sens ironique: “merci Google de scanner tout le web (par défaut) et permettre à n’importe qui de facilement extraire des données sensibles”.
" />
Même si ces pages étaient accessibles en direct, il faut bien avouer que Google est une superbe machine a trouver les données. Il y a quelques années on trouvait facilement des logs de squid avec les user/pwd en clair.
#31
Elmah y-a y-a Elmah y-a y-é
" />
Elmah y-a y-a Elmah y-a y-a
Elmah y-a y-a Elmah y-a y-é
Elmah y-a y-a Elmah y-a y-a
#32
“C’est ce qui explique que vous ayez eu à vous reconnecter ces derniers jours.”
" />
Ah voila, tout s’explique.
#33
De toutes les matières, c’est la Ouache qu’elle préfère.
#34
Tout s’explique aussi pour moi!
" />
Dire que j’ai pris peur lundi quand nextinpact ne me reconnaissait plus sur aucune machine…
#35
#36
Viens donc à Lambé, y en a plein
" />
" />
Merci Nxi pour le colmatage. :)
Si je comprendre bien, 1 faille = 1 an d’abonnement, hmm , dommage le pentester du service est en vacances
#37
Je serais toujours surpris que Big Google arrive à trouver et référencer des trucs pareil 😯
#38
#39
GG pour la transparence :-)
" />
Faudrait vraiment que tout le monde soit comme vous
#40
#41
Mirci pour le coup de rire…
#42
#43
#44
#45
+1 pour l’internaute +1 pour la transparence = -2 pour Google :)
#46
Tient tant qu’on est a ceux qui pose la question du changement de mots de passe, est-il prévu une mise en place de la validation en deux étape ? (peut être considérer inutile mais qui pourrais être bienvenue (je n’aime pas laissé un compte payant avec un simple mots de passe pour le protéger)).
Je sait que cela n’a aucun rapport mais je demande (au cas ou un autre user connaitrait la réponse) pour pas déranger inutilement, soit dit en passant merci pour la transparence !!
#47
#48
Des claims. Rien de perso, mais ma parano me fait dire qu’il peut toujours y avoir une coincidence :)
#49
Belle réactivité ! :)
En revanche, je trouve inadmissible que Google référence les cookies des sites, information qui ne le concerne en rien et n’a aucun intérêt s’agissant du référencement à proprement parler.
On va dire qu’il ne peut rien en faire du fait du chiffrement, ok, néanmoins il a nécessairement tapé au hasard à la recherche de “pages” cachées puisqu’il n’y avait aucun lien!
#50
#51
#52
Flagrant défaut de sécurisation, qu’en pense la Hadopi ?
#53
#54
Intéressant de savoir que vous utilisez ASP.NET ;)
#55
C’est une vraie question. Sachant que le lien était complétement privé et que j’était le seul a l’avoir. J’ai aucune preuve mais y’a quelque chose de louche. Comment Google Bot peut arriver sur cette page (sachant qu’en plus, on n’utilise plus google analytics depuis un bail) ? J’ai pas de réponse, mais le seul lien que je peux trouver, c’est (était) l’utilisation de Chrome.
#56
Par contre j’ai bien eu à me reconnecter sur le pc mais pas sur le téléphone portable.
La partie mobile de nextinpact n’est pas touchée ?
#57
#58
Mais tu ne sais toujours pas qu’on dit quand même et pas comme même
" />
" />
EDIT : mouarf, grilled
#59
Ils sont parmi nous, ils nous espionnent et nous écoutent… On va tous mourir ! Cours P-A, COURS !
" />
#60
ils sont laaaa, dans le campagnes, dans les villes !
#61
Merci pour l’explication, sur le coup me suis demandé ce qui se passait.
#62
#63
Bravo pour la communication ^^
#64
Merci pour l’info, j’ai bien du me reconnecter à mon compte sur mon PC et je pensais d’ailleurs que c’était du à la nouvelle colonne de droite.
" />
En revanche, la version mobile du site (accessible par m.nextinpact.com) n’est pas concernée ?
Si je ne me trompe pas, je ne me suis pas re-loggué depuis mon smartphone (Lumia 950 sous Windows 10 Mobile 10.0.15251.124 Version 1709 / Edge).
Oubli de votre part ou c’est moi qui me plante (ça reste possible, mais je n’ai vraiment pas souvenir d’avoir du me reconnecter sur le mobile), ou alors pas besoin, parce que la version mobile du site n’est pas impactée ?
#65
La rumeur veut que Chrome (seul) n’est pas suffisant pour indexer une page cachée.
Par contre, les extensions de chrome peuvent tout a fait utiliser une API qui fait que …
#66
Tragédie en 3 actes :
Acte 1 : Et si on parlait cybersécurité à table en lourdant tout le monde ? N’oubliez pas de donner des leçons à tout le monde !
Acte 2 : N’oubliez pas que NextInpact est un site sans tracker qui vous ne espionne pas ! Et oui ! On est cool !
Acte 3 : Cet article.
Ne changez rien.
#67
Rien de compliqué/sorcié. Comme le pressent P-A : taper l’url dans le navigateur, oops un espace et ca lance la recherche google. Google découvre alors un domaine inconnu et explore pour le principe.
#68
Faute avouée est à moitié pardonnée et la correction rapide dès sa connaissance pardonne l’autre moitié.
" />
#69
Exactement :)
#70
C’est possible, c’est un peu différent dans le cas de la version mobile. Mais a un moment donné, tu vas forcement devoir te reconnecter.
#71
Bravo pour la clarté.
#72
Non, Google ne référence pas les cookies des sites (qui ne sont pas accessible à un bot d’indexation) et n’est pas à blâmer. Les valeurs des cookies étaient présentes dans le corps de pages réputées accessible seulement par l’équipe de Next Inpact.
Le problème vient d’Elmah qui ne devrait jamais par défaut permettre un accès anonyme (et donc à toute entité ayant le lien) à ses données. Les accès permissifs devraient se faire avec des valeurs de config explicites, comme ça même si le code de mise à jour écrasait la config de sécurité l’accès aurait restreint (plus que prévu) par défaut.
Errare humanum est, parole de développeur. En tous cas merci à celui qui à trouvé ça.
#73
#74
#75
Elles contenaient dans quelques cas des cookies d’identification qui pouvaient permettre à un tiers d’usurper l’identité du membre concerné sur le site.
Dommage que j’ai raté ça, il y en a certains dont j’aurais bien aimé usurper l’identité…
#76
Bon j’aurais été moins cool avec ma banque, mais là on va dire que ça passe
" />
(c’est quand même compliqué le monde de l’internet multimédia indexé)
#77
#78
#79
#80
L’utilisation d’Elmah signifie-t-elle que Nextinpact est programmé en ASP ?
#81
#82
#83
#84
#85
#86
#87
Hey, regad Elmah, laid!
#88
#89
#90
moi aussi je te même
" />
#91
veinard, encore 15 ans
" />
#92
#93
Ce n’est pas tant Chrome. C’est le souci qu’engendre la fusion barre de recherche et barre d’adresse (et firefox est bien aussi dans ce cas, j’ai testé). C’est aussi le souci qu’engendre ceux qui activent la suggestion du moteur de recherche (tu tape un mot et il te propose d’autre mots, s’il n’a pas identifié que tu étais en train de taper une URL alors il transmet une recherche à Google (si c’est ton moteur de recherche par défaut).
Pour t’en convaincre. Dans ta barre d’adresse tape successivement
nextinpact.com/toto-pouetmeuh/ <– erreur 404 de Nxi
nextinpact.com/toto pouetmeuh/ <– recherche moteur par défaut
La seule différence c’est qu’un espace s’est glissé et a transformé une URL en “mot de recherche”.
Si tu as bien https:// en début tu n’aura jamais ce problème.
Mais j’imagine bien P-A taper rapidement l’URL car il la tape peut être 42x par jours. Et paf pastèque
#94
hum… si ca déclenche une recherche, alors par définition ce que tu as tapé n’était pas une URL bien formée. Ca sous entendrait que GoogleSearch corrige de lui même l’URL pour la crawler plus tard… autre rumeur sur laquelle enquêter.
Plus probable: l’utilisation des DNS de google ?
#95
Cf mon message juste en dessus. Un simple espace fait une URL éronnée
#96
Je me suis mal exprimé… je voulais dire est-ce que GoogleSearch va aller crawler une URL qui a été utilisée comme texte de query ? exemple.
#97
C’était justement notre théorie. On pourrait faire tout un dossier communautaire avec P-A en rédacteur
" />
Edit: Quid DNS google, Quid envoi Gmail, Quid GTalk, Quid GDrive, Quididididadaddoo.
#98
Je comprends mieux (j’avais immédiatement re-séparé barre de recherche et barre d’url sur ffx).
Outre cette théorie, ca laisse entière la question de savoir s’il est légitime que Google prenne sur lui de référencer une page non linkée?
#99
#100
#101
#102
C’est pas faux 
" />
#103
Dans le doute, je change mon pw 
" /> merci aussi pour la transparence 
" />
#104
Dans la même veine, je me suis aperçu récemment d’un autre autre comportement surprenant et potentiellement indésirable des navigateurs par rapport à cette barre fusionnée (en tout cas chrome, j’ai pas testé l’équivalent sur FireFox): La page d’accueil par défaut contient un champ de ‘recherche’ titré Google, sauf que quand on tape quelque chose dedans, c’est équivalent non pas à une recherche Google, mais à une entrée dans la barre d’adresse.
" />
Dans 99% des cas, c’est ce qu’on veut, mais je me suis fait avoir en voulant ‘checker’ via Google la réputation d’une URL vraisemblablement malveillante, hop direct sur le site en question