Nouvel eldorado marketing, le Web 2.0 ne fait visiblement pas bon ménage avec la sécurité. Un constat qui, pour nombre d'experts en sécurité, s'était imposé comme une évidence voilà déjà plusieurs mois. Le service communautaire MySpace et la plate-forme de webmail de Yahoo en ont déjà fait les frais. Myspace via un ver utilisant une faille dans le logiciel Quicktime. Et Yahoo Mail par le virus Yamanner, qui profitait d'une brèche dans la gestion de son code JavaScript.
C'est désormais au portail d'agrégation français Netvibes d'être touché, bien qu'indirectement. C'est un utilisateur résolu - selon ses dires - à démontrer les lacunes des applications Web 2.0 à protéger les données personnelles des utilisateurs, qui a décidé de divulguer publiquement une vulnérabilité. Sur un blog, qu'il a depuis fermé, il y expliquait la procédure suivie et les données auxquelles il était parvenu par ce biais à accéder.
"La vulnérabilité dans Webnote était connue de nos équipes, et le patch prêt. Notre intention était à l'origine de faire la correction mardi, mais compte tenu de la publication faite par l'internaute, nous avons dû hâter le processus", reconnait de son côté Tariq Krim, le fondateur de Netvibes.
Décrivant son mode opératoire en 5 étapes, le bloggeur explique avoir créé un module Netvibes, puis l'avoir soumis à validation auprès du service, comme l'exige la procédure en vigueur. Accepté, il a ensuite été mis en ligne. L'internaute constate alors être en mesure de modifier son module sans avoir de nouveau à le soumettre à validation.
Par le biais de la faille dans Webnote (bloc-notes), le bloggeur s'avère alors capable de récupérer un grand nombre d'informations d'utilisateurs ouvrant son module. Il s'agit notamment de leur e-mail d'accès à leur compte Netvibes, de la liste de leurs flux RSS ou encore des paramètres de configuration des modules. Ces derniers pouvaient, par ricochet, lui permettre de collecter les données d'accès au compte Adsense des internautes victimes.
Une évolution de l'API et la certification des modules en cours |
"Nous allons mettre en place un système de certification des modules de façon à ce qu'ils soient testés, contrôlés par des tiers, et pas seulement par nos équipes. Je pense notamment à un système d'évaluation des modules comme ce peut être le cas des vendeurs sur eBay. Nous allons également faire évoluer l'API, afin de simplifier la conception des modules et d'évaluer strictement le code, dont notamment le JavaScript", déclare Tariq Krim, s'expliquant sur la possible compromission des modules tiers.
Concours de circonstances malheureux, un des développeurs de Netvibes en charge des tests des modules est à son tour victime du bloggeur. Ce dernier découvre en effet les codes d'accès à son environnement de développement et à sa base de données - et non à celle de Netvibes contenant l'ensemble des codes utilisateurs, comme il le déclarera ensuite sur son blog. Attitude contestable, l'internaute décide alors de réaliser des captures d'écran et de les publier en ligne.
"Toute la difficulté dans un environnement ouvert comme celui de Netvibes est de parvenir à trouver un équilibre entre l'ouverture permise par le service et les exigences de sécurité. Mais, pour le moment, la sécurité du site n'a jamais été compromise et nous uvrons pour que cela perdure. La sécurité a toujours été le premier focus dans le développement de notre code", revendique le fondateur de Netvibes.
"La problématique de la sécurité applicative, c'est-à-dire de la manière dont est codée l'application Web, est cruciale car sa mise en cause peut avoir des conséquences lourdes tant sur les données personnelles que sur le risque de transmission d'informations faussées à un grand nombre d'utilisateurs", rappelle le responsable veille sécurité du cabinet Lexsi, Thomas Gayet.
"Dans le cadre de développements externes pouvant être intégrés par chaque utilisateur à l'application Web 2.0, une attention particulière doit être portée par les développeurs du projet afin de confiner au maximum les possibilités offertes au code tiers, pour minimiser les actions pouvant porter atteinte aux autres modules ou données", conclut-il.
|