La “brèche” Gravatar expose les données de plus de 100 millions d’utilisateurs

0
8
La

La société d’alerte de sécurité HaveIBeenPwned a informé les utilisateurs que les informations du profil de 114 millions d’utilisateurs de Gravatar avaient été divulguées en ligne dans ce qu’elle a qualifié de violation de données. Gravatar nie avoir été piraté.

Voici une capture d’écran de l’e-mail envoyé aux utilisateurs de HaveIBeenPwned qui qualifie l’événement Gravatar de violation de données :

Violation de la loi Gravatar

Vulnérabilité d’énumération de Gravatar

Les informations sur l’utilisateur de chaque personne possédant un compte Gravatar peuvent être téléchargées à l’aide d’un logiciel de “grattage” des données.

Bien que, techniquement, il ne s’agisse pas d’une violation, la manière dont les informations sur les utilisateurs étaient stockées par Gravatar permettait à une personne mal intentionnée d’obtenir facilement des informations sur les utilisateurs, qui pouvaient ensuite être utilisées dans le cadre d’une autre attaque pour obtenir des mots de passe et des accès.

Les comptes Gravatar sont des informations publiques. Cependant, les comptes de profil des utilisateurs individuels ne sont pas répertoriés publiquement d’une manière qui puisse être facilement consultée. Normalement, une personne devrait connaître les informations du compte, comme le nom d’utilisateur, afin de trouver le compte et toutes les informations disponibles publiquement.

Un chercheur en sécurité a découvert fin 2020 que les informations de compte des utilisateurs de Gravatar étaient enregistrées par ordre numérique. Un rapport d’actualité de l’époque décrit comment le chercheur en sécurité a jeté un coup d’œil dans un fichier JSON lié dans la page de profil a révélé un numéro d’identification qui correspondait au numéro numérique attribué à cet utilisateur.

Le problème avec ce numéro d’identification de l’utilisateur est que le profil pouvait être atteint avec ce numéro.

Le numéro n’étant pas généré de manière aléatoire mais par ordre numérique, toute personne souhaitant accéder à l’ensemble des noms d’utilisateur Gravatar pourrait accéder à cette information en demandant et en extrayant les profils d’utilisateur par ordre numérique.

Événement de Data Scraping

On parle de violation de données lorsqu’une personne non autorisée accède à des informations qui ne sont pas accessibles au public.

Les informations de Gravatar étaient accessibles au public mais une personne extérieure devait connaître le nom d’utilisateur de l’utilisateur de Gravatar afin d’accéder à son profil. En outre, l’adresse électronique de cet utilisateur était stockée de manière cryptée et non sécurisée (appelée hachage MD5).

Un hachage MD5 n’est pas sûr et peut facilement être décrypté (également appelé “cracké”). Le stockage des adresses électroniques au format MD5 n’offrait qu’une protection mineure.

Cela signifie qu’une fois qu’un attaquant a téléchargé les noms d’utilisateur et le hachage MD5 de l’adresse électronique, il lui est facile d’extraire l’adresse électronique de l’utilisateur.

Selon le chercheur en sécurité qui a initialement découvert la vulnérabilité de l’énumération des noms d’utilisateur, Gravatar n’avait “pratiquement aucune limitation de débit”, ce qui signifie qu’un robot racleur pouvait demander des millions de profils d’utilisateurs sans être arrêté ou mis en cause pour comportement suspect.

Selon le rapport de presse d’octobre 2020 qui avait initialement divulgué la vulnérabilité :

“Alors que les données fournies par les utilisateurs de Gravatar sur leurs profils sont déjà publiques, l’aspect d’énumération facile des utilisateurs du service, avec pratiquement aucune limitation de taux, soulève des inquiétudes quant à la collecte massive des données des utilisateurs.”

Gravatar minimise la collecte des données des utilisateurs

Gravatar a publié sur Twitter des déclarations publiques qui minimisent l’impact de la collecte d’informations sur les utilisateurs.

Le site dernier tweet de la série de Gravatar encourageait les lecteurs à apprendre le fonctionnement de Gravatar :

“Si vous voulez en savoir plus sur le fonctionnement de Gravatar ou ajuster les données partagées sur votre profil, veuillez visiter http://Gravatar.com.”

Ironiquement, Gravatar s’est lié à un protocole non sécurisé de l’URL, en utilisant HTTP. En atteignant l’URL, il n’y avait pas de redirection sur Gravatar vers une version sécurisée (HTTPS) de la page Web, ce qui ne faisait que saper leurs efforts pour projeter un sentiment de sécurité.

Réaction des utilisateurs de Twitter

Un utilisateur de Twitter s’est opposé à l’utilisation de l’expression “violation” parce que l’information était accessible au public.

La personne derrière le site HaveIBeenPwned a répondu :

Pourquoi l’événement Gravatar Scraping est important

Troy Hunt, la personne derrière le site HaveIBeenPwned, a expliqué dans une série de tweets pourquoi l’événement de scraping Gravatar est important.

Troy a affirmé que les données que les utilisateurs ont confiées à Gravatar ont été utilisées d’une manière inattendue.

La confiance des utilisateurs de Gravatar érodée

Les utilisateurs veulent contrôler les informations de leur Gravatar

Troy a affirmé que les utilisateurs veulent être conscients de la manière dont leurs informations sont utilisées et consultées.

Les utilisateurs de Gravatar se sont-ils fait avoir ?

On pourrait faire valoir qu’un compte Gravatar peut être public mais pas facilement récolté comme première étape d’un piratage par des personnes mal intentionnées.

Gravatar a affirmé qu’après la divulgation de la vulnérabilité de l’attaque par énumération, ils ont pris des mesures pour la fermer afin d’empêcher tout nouveau téléchargement d’informations sur les utilisateurs.

Donc, d’une part, Gravatar a pris des mesures pour empêcher ceux qui ont des intentions malveillantes de récolter des informations sur les utilisateurs. Mais d’autre part, ils ont déclaré que les rapports sur le piratage de Gravatar sont de la désinformation.

Mais le fait est que HaveIBeenPwned n’a pas appelé cela un événement de piratage, ils ont appelé cela une violation.

On pourrait argumenter que l’utilisation par Gravatar du hachage MD5 pour stocker les données d’email n’était pas sécurisée et qu’au moment où les pirates ont craqué le cryptage non sécurisé, le grattage anormal d'”informations publiques” est devenu une violation.

De nombreux utilisateurs de Gravatar ne sont pas particulièrement heureux et cherchent des réponses :

Lien source