Hack: Prévenir ou se taire ?

Fut un temps, les failles que je détectais par hasard sur un site se transformaient en gros lulz et quand je voyais les problèmes qu'avaient ceux qui, gentillement, expliquaient et commentaient la faille aux propriétaires, je me disais que j'avais bien raison. NesousX, blogueur que j'hébergeais et nouveau voisin maintenant (un peu de mylife) a trouvé dimanche dernier une faille chez un organisme à but non lucratif et là forcément, on a vérifié son potentiel critique...

La faille qui fait tâche

Comme pratiquement tous les organismes qui récoltent des fonds, il est aujourd'hui possible avec bon nombre d'entre eux de donner directement par le biais du net. Mais voilà, une faille bien laide permet de jouer avec une variable qui donne accès aux informations de chaque donateur sans aucun problème. Ainsi, en quelques clics, nom, adresse et e-mails des gens apparaissent comme par magie.

Plus grave, il est également possible, toujours en utilisant la même variable de voir les dons des individus et de modifier bon nombre de paramètres dont les prélèvements automatiques et même, de crasher le serveur en multipliant quelques requêtes. La faille est donc monstrueuse et surtout, simple d'accès.

À partir de là, NesousX et moi-même avions donc 3 possibilités. Ne rien faire, profiter de la faille ou prévenir le site.  Si profiter du truc ne nous intéressait pas vraiment, ne rien faire était plutôt tentant...  Nous avons finalement choisi la dernière possibilité mais là, j'avoue que diverses expériences que j'avais pu observer se soldaient souvent par plus d'ennuis qu'autre chose, mais bon, c'est un organisme à but non lucratif quand même...

Une réaction positive

La première étape a consisté à envoyer un email via le formulaire de contact mais malheureusement, le lendemain, le problème existait toujours. J'ai donc appelé directement l'agence Web qui avait normalement fait le site (mais pas la partie problématique en fait) qui m'a demandé de prévenir l'association elle-même.

J'ai donc appelé et je ne m'attendais à rien mais finalement le responsable était sympathique et donna son e-mail pour une explication détaillée. 30 minutes après mon appel, la première faille était corrigée et le lendemain, la deuxième n'était plus qu'un mauvais souvenir.

Ce genre de réactivité est plutôt rare et au mieux, vous n'avez jamais de réponse... Au pire, vous êtes poursuivi pour avoir aidé (les exemples ne manquent malheureusement pas) ou pour avoir osé parler d'une faille (qui n'est plus exploitable...).

Prévenir, c'est prendre un risque

Hé oui, c'est en effet le problème. C'est pourtant simple de prendre l'aide de quelqu'un qui ne demande rien. À la place de ça, des entreprises menacent de poursuites ces individus, qui pourtant, leur donnent un bon coup de pouce. La Loi  est également en faveur de ces compagnies dans plusieurs pays dont bien sûr la France (LCEN et autres), qui sait se démarquer en matière d'aberrations législatives. Il devient de plus en plus compliqué d'être finalement honnête et avenant.

Pour faire simple, celui qui trouve et dénonce a en principe tout intérêt à se taire sur ce qu'il vient de trouver et ça, c'est vraiment dommage vu le nombre de sites existants comportant des failles de sécurité plus ou moins critiques et accessibles à pratiquement tout le monde (genre dernièrement, j'ai pu voir un cookie bien amusant où il suffisait de changer le numéro de session pour intégrer la session de n'importe qui).

La LCEN a rendu de nombreux outils illégaux* alors que ceux-ci permettent notamment de localiser de nombreuses failles. Les différentes lois liées au web sont totalement rétrogrades et tendent à rendre les gens suspicieux et également hostiles à tout ce qui peut émaner d'un gouvernement et ça se comprend quand on voit les dernières propositions sortant d'hommes complètement à l'ouest en matière de technologie.

Certes, il faut bien un cadre législatif pour limiter les abus mais encore faut-il savoir de quoi on parle et malheureusement pour nous tous, ce n'est pas vers nos gouvernements qu'il faut se tourner pour espérer obtenir un discours quelque peu cohérent sur le web et son avenir. Tiens, ils ont réussi à me mettre de mauvaise humeur...