La société d’alerte de sécurité HaveIBeenPwned a informé les utilisateurs que les informations du profil de 114 millions d’utilisateurs de Gravatar avaient été divulguées en ligne dans ce qu’elle a qualifié de violation de données. Gravatar nie avoir été piraté.
Voici une capture d’écran de l’e-mail envoyé aux utilisateurs de HaveIBeenPwned qui qualifie l’événement Gravatar de violation de données :
Je déteste recevoir des e-mails de ce type ? pic.twitter.com/rkZrmzU7hp
– Troy Hunt (@troyhunt) 6 décembre 2021
Vulnérabilité d’énumération de Gravatar
Les informations sur l’utilisateur de chaque personne possédant un compte Gravatar peuvent être téléchargées à l’aide d’un logiciel de “grattage” des données.
Bien que, techniquement, il ne s’agisse pas d’une violation, la manière dont les informations sur les utilisateurs étaient stockées par Gravatar permettait à une personne mal intentionnée d’obtenir facilement des informations sur les utilisateurs, qui pouvaient ensuite être utilisées dans le cadre d’une autre attaque pour obtenir des mots de passe et des accès.
Les comptes Gravatar sont des informations publiques. Cependant, les comptes de profil des utilisateurs individuels ne sont pas répertoriés publiquement d’une manière qui puisse être facilement consultée. Normalement, une personne devrait connaître les informations du compte, comme le nom d’utilisateur, afin de trouver le compte et toutes les informations disponibles publiquement.
Un chercheur en sécurité a découvert fin 2020 que les informations de compte des utilisateurs de Gravatar étaient enregistrées par ordre numérique. Un rapport d’actualité de l’époque décrit comment le chercheur en sécurité a jeté un coup d’œil dans un fichier JSON lié dans la page de profil a révélé un numéro d’identification qui correspondait au numéro numérique attribué à cet utilisateur.
Le problème avec ce numéro d’identification de l’utilisateur est que le profil pouvait être atteint avec ce numéro.
Le numéro n’étant pas généré de manière aléatoire mais par ordre numérique, toute personne souhaitant accéder à l’ensemble des noms d’utilisateur Gravatar pourrait accéder à cette information en demandant et en extrayant les profils d’utilisateur par ordre numérique.
Événement de Data Scraping
On parle de violation de données lorsqu’une personne non autorisée accède à des informations qui ne sont pas accessibles au public.
Les informations de Gravatar étaient accessibles au public mais une personne extérieure devait connaître le nom d’utilisateur de l’utilisateur de Gravatar afin d’accéder à son profil. En outre, l’adresse électronique de cet utilisateur était stockée de manière cryptée et non sécurisée (appelée hachage MD5).
Un hachage MD5 n’est pas sûr et peut facilement être décrypté (également appelé “cracké”). Le stockage des adresses électroniques au format MD5 n’offrait qu’une protection mineure.
Cela signifie qu’une fois qu’un attaquant a téléchargé les noms d’utilisateur et le hachage MD5 de l’adresse électronique, il lui est facile d’extraire l’adresse électronique de l’utilisateur.
Selon le chercheur en sécurité qui a initialement découvert la vulnérabilité de l’énumération des noms d’utilisateur, Gravatar n’avait “pratiquement aucune limitation de débit”, ce qui signifie qu’un robot racleur pouvait demander des millions de profils d’utilisateurs sans être arrêté ou mis en cause pour comportement suspect.
Selon le rapport de presse d’octobre 2020 qui avait initialement divulgué la vulnérabilité :
“Alors que les données fournies par les utilisateurs de Gravatar sur leurs profils sont déjà publiques, l’aspect d’énumération facile des utilisateurs du service, avec pratiquement aucune limitation de taux, soulève des inquiétudes quant à la collecte massive des données des utilisateurs.”
Gravatar minimise la collecte des données des utilisateurs
Gravatar a publié sur Twitter des déclarations publiques qui minimisent l’impact de la collecte d’informations sur les utilisateurs.
Gravatar aide à établir votre identité en ligne avec un profil authentifié. Nous sommes conscients de la conversation en ligne qui prétend que Gravatar a été piraté, nous voulons donc clarifier les informations erronées. (1/4)
– Gravatar.com (@gravatar) 6 décembre 2021
Gravatar n’a pas été piraté. Notre service vous donne le contrôle sur les données que vous souhaitez partager en ligne. Les données que vous choisissez de partager publiquement sont mises à disposition via notre API. Les utilisateurs peuvent choisir de partager leur nom complet, leur nom d’affichage, leur localisation, leur adresse électronique et une courte biographie.
(2/4)– Gravatar.com (@gravatar) 6 décembre 2021
L’année dernière, un chercheur en sécurité a récupéré les données publiques de Gravatar – noms d’utilisateur et hachages MD5 des adresses électroniques utilisées pour référencer les avatars des utilisateurs – en abusant de notre API. Nous avons immédiatement corrigé la possibilité de récolter en masse les données publiques des profils. (3/4)
– Gravatar.com (@gravatar) 6 décembre 2021
Le site dernier tweet de la série de Gravatar encourageait les lecteurs à apprendre le fonctionnement de Gravatar :
“Si vous voulez en savoir plus sur le fonctionnement de Gravatar ou ajuster les données partagées sur votre profil, veuillez visiter http://Gravatar.com.”
Ironiquement, Gravatar s’est lié à un protocole non sécurisé de l’URL, en utilisant HTTP. En atteignant l’URL, il n’y avait pas de redirection sur Gravatar vers une version sécurisée (HTTPS) de la page Web, ce qui ne faisait que saper leurs efforts pour projeter un sentiment de sécurité.
Réaction des utilisateurs de Twitter
Un utilisateur de Twitter s’est opposé à l’utilisation de l’expression “violation” parce que l’information était accessible au public.
Je pense que c’était injuste de @troyhunt pour classer ça comme une violation. C’était du screen scraping, ils n’ont rien obtenu qui n’était pas déjà disponible publiquement.
– Peter Morris #BlackLivesMatterToo (@MrPeterLMorris) 6 décembre 2021
La personne derrière le site HaveIBeenPwned a répondu :
C’est pour cela qu’il est question de “données extraites”. Mais on pourrait aussi dire que le terme “violation” est approprié lorsque les données sont obtenues et utilisées à mauvais escient, en dehors du cadre prévu pour lequel elles ont été fournies.https://t.co/FwiqpUFSsp
– Troy Hunt (@troyhunt) 6 décembre 2021
Pourquoi l’événement Gravatar Scraping est important
Troy Hunt, la personne derrière le site HaveIBeenPwned, a expliqué dans une série de tweets pourquoi l’événement de scraping Gravatar est important.
Troy a affirmé que les données que les utilisateurs ont confiées à Gravatar ont été utilisées d’une manière inattendue.
La confiance des utilisateurs de Gravatar érodée
L’argument selon lequel “de toute façon, ce sont des données publiques” est un point de vue minoritaire. La grande majorité des gens disent systématiquement “Je ne m’attendais pas à ce que mes données soient utilisées de cette manière et je suis mécontent qu’elles soient maintenant disponibles et qu’elles circulent dans ce format”.
– Troy Hunt (@troyhunt) 6 décembre 2021
Que pouvez-vous faire concrètement ? Les gens demandent souvent au service concerné de supprimer leurs données. Cela ne remet évidemment pas le génie dans la bouteille, mais c’est une action raisonnable lorsque la confiance est érodée.
– Troy Hunt (@troyhunt) 6 décembre 2021
Les utilisateurs veulent contrôler les informations de leur Gravatar
Troy a affirmé que les utilisateurs veulent être conscients de la manière dont leurs informations sont utilisées et consultées.
Au minimum, c’est une prise de conscience. Je veux savoir – *la plupart* des gens veulent savoir- quand nos données personnelles apparaissent dans des endroits où nous ne nous y attendions pas, et c’est précisément ce que nous voulons faire. @haveibeenpwned fait.
– Troy Hunt (@troyhunt) 6 décembre 2021
Les utilisateurs de Gravatar se sont-ils fait avoir ?
On pourrait faire valoir qu’un compte Gravatar peut être public mais pas facilement récolté comme première étape d’un piratage par des personnes mal intentionnées.
Gravatar a affirmé qu’après la divulgation de la vulnérabilité de l’attaque par énumération, ils ont pris des mesures pour la fermer afin d’empêcher tout nouveau téléchargement d’informations sur les utilisateurs.
Donc, d’une part, Gravatar a pris des mesures pour empêcher ceux qui ont des intentions malveillantes de récolter des informations sur les utilisateurs. Mais d’autre part, ils ont déclaré que les rapports sur le piratage de Gravatar sont de la désinformation.
Mais le fait est que HaveIBeenPwned n’a pas appelé cela un événement de piratage, ils ont appelé cela une violation.
On pourrait argumenter que l’utilisation par Gravatar du hachage MD5 pour stocker les données d’email n’était pas sécurisée et qu’au moment où les pirates ont craqué le cryptage non sécurisé, le grattage anormal d'”informations publiques” est devenu une violation.
De nombreux utilisateurs de Gravatar ne sont pas particulièrement heureux et cherchent des réponses :
Allez-vous publier ces informations sur votre site ?
Les personnes qui ont reçu l’avis Gravatr de Have I been Pwned visiteront votre site pour obtenir les dernières informations.
J’ai vérifié, il n’y a rien sur votre site.
Les utilisateurs de Gravatar ne devraient pas être obligés de contacter le support pour obtenir des réponses.
– Deborah Edwards-Oñoro (@redcrew) 6 décembre 2021
