La semaine dernière, le Vatican a présenté avec fierté un chapelet connecté baptisé « eRosary », permettant aux geeks croyants de mieux gérer leurs prières du rosaire. Pour fonctionner, l’appareil nécessite l’installation d’une application mobile qui nécessite une authentification. Mais lors du développement de ce logiciel, le prince des ténèbres a visiblement eu le temps d’envoyer ses diablotins pour y insérer une énorme faille de sécurité.
En effet, il y a quelques jours, le hacker Baptiste Robert, alias Elliot Alderson, a découvert que n’importe qui pouvait prendre le contrôle total du compte d’un utilisateur à partir du moment où l’on connaissait son adresse e-mail. Et par conséquent, il était possible de mettre la main sur toutes les données personnelles qu’il a enregistrées dans cette application : nom, prénom, date de naissance, hauteur, poids, activités passées, etc.
https://twitter.com/fs0c131y/status/1185442624666251264
Un hack trivial
L’erreur se trouvait dans une manière peu orthodoxe de gérer les connexions des utilisateurs. À chaque fois qu’un utilisateur veut se connecter, il doit renseigner son adresse e-mail. Les serveurs de l’application envoient alors à cette adresse un code pin qui lui permettra de se connecter.
Le problème, c’était que ce code figurait également dans la réponse HTTP qui était envoyée à l’application. Une personne malintentionnée qui usurpait l’identité d’un utilisateur pouvait donc assez facilement récupérer un nouveau code pin par une technique de type Man-in-the-Middle. Avec ce numéro, il pouvait alors se loguer sur le service en lieu et place de l’utilisateur légitime. Un hack trivial que Baptiste Robert n’aura mis que 15 minutes à découvrir.
Alerté par le chercheur en sécurité, le Vatican a depuis corrigé le problème. Reste à savoir si le hacker bénéficiera d’une béatification…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.