Une énorme faille de sécurité a été publiquement annoncée hier par certains membres. Pour des raisons évidentes, je ne détaillerai pas la procédure ici, mais, pour ceux qui ne le sauraient pas encore, sachez qu'il est actuellement possible de récupérer l'adresse e-mail de n'importe quel membre. Et la simplicité de la procédure rend le méfait scriptable en quelques minutes. Ca ne m'étonnerait pas qu'une base de données des adresses e-mail de tous les membres, avec corrélation de leur profil (sexe, age, préférences, localisation; bref parfait pour la pub ou le harcèlement), ait été faite durant la nuit.
Aux dires des intervenants, cette faille est connue de certains depuis longtemps et avait déjà été relatée à OpenClassrooms. Il est triste de constater que rien n'a été fait et qu'il a fallu rendre une telle faille publique pour qu'une réaction sur Twitter survienne.
Hier, à 18h, OpenClassrooms assurait publiquement avoir pris connaissance du problème et annonçait le régler "en urgence". Quel ne fut pas mon désarrois de constater ce matin que le problème est toujours présent... Je ne sais pas si vous vous rendez bien compte. Ils sont capables de répondre à une stupide lettre communautaire à 7h du matin, je dis bien à 7h ! Mais corriger une faille de sécurité majeure les mettant dans l'illégalité par rapport aux lois de la plupart des pays francophones, ça peut vraisemblablement attendre.
Au delà du constat de la faille (après tout, des failles importantes, il peut y en avoir dans tous les systèmes) je m'interroge sur plusieurs points :
D'un point de vue conception, comment est-il seulement envisageable de charger un contenu (comme ici l'adresse e-mail) sur base d'une requête d'un utilisateur lambda qui n'a de toutes façons par les droits pour consulter ce contenu. Au mieux, ça ralenti le chargement de page, au pire l'information risque de finir dans le code généré comme c'est le cas ici.
Comment se fait-il que masquer cette information, présente à un endroit bien spécifique du code, puisse prendre plus de 15h à des développeurs aussi talentueux que Mathieu Nebra ou Pierre Dubuc ? Face à une telle faille, il est évident que la première chose à faire est masquer l'information, avant de restructurer le code fautif pour corriger proprement le problème. S'il s'avère que c'est techniquement plus compliqué qu'il n'y parait, un e-mail avertissant les utilisateurs et les invitant à modifier temporairement leur adresse e-mail eut été de bon aloi. Pour une entreprise qui veut être une référence dans le développement Web francophone, c'est réellement préoccupant !
Quelle confiance peut-on encore avoir par rapport aux autres données personnelles, telle que l'adresse de résidence, ou, pire, des données bancaires liées aux payements dans la boutique ?
Je pense qu'il est plus que temps que SimpleIT ouvre le code de son site, afin que de tels bugs, ainsi que les probables et multiples autres bugs, peut-être autrement plus graves, puissent être traqués et corrigés, afin de redonner confiance en la sécurité de ce site qui fait de plus en plus défaut.
En l'absence de réponse et de réaction rapide et satisfaisante, je me sentirai dans l'obligation morale de prévenir mes proches de la dangerosité d'une utilisation normale du site, et j'inviterai toute personne sensée à faire de même.
je suis plus que surprise de cette nouvelle ! a vouloir faire mieux on finit par faire mal !
il est plus qu'évident que le site se dégrade et que clairement les développeurs sont dans un autre monde que le notre. Dire qu'avant ils bossaient si bien qu'ils avaient le temps de jouer à la console dans leur beau canapé ... aujourd'hui on se demande si il y a encore quelqu'un à bord du navire...
bref je vais changer mon adresse en espérant que cela ne soit pas trop tard
je suis plus que déçu du site du zéro.. oups OCR !
Même si je te plussois sur le fond, je ne sais pas si demander l'ouverture du code est la bonne solution puisqu'ils ne le veulent pas. A defaut, ils pourraient au moins se rendre compte que leur plus value est sur leur contenu et sur leur forte présence éditorial et se concentrer dessus. Il serait alors bon de relayer la partie la moins critique pour eux, le code, à une entreprise spécialisé. Tout le monde en serait content.
Le fait de rendre public le code source serait peut-être encore plus risqué ?
Tant que l'on ignore le code source, on ignore peut-être beaucoup de failles, mais dès que de gros hacker peuvent y mettre leur nez, ils peuvent chercher les failles comme ils le veulent.
Certes, si le "hacker" est bien intentionné, il le signalera, mais si c'est tout l'inverse, il s'amusera avec.
Ce qui n'est pas clair dans le message de Caduchon, c'est que cette faille est présente depuis la sortie de la v4 , il y a 11 mois.
D'ailleurs, ce n'est pas la première fois qu'elle a été signalée, à ma connaissance.
Tristement, ce n'est pas la première fois qu'on nous répond qu'on va "très vite/bientôt/incessamment sous peu/immédiatement/à la vitesse de buzz l'éclair" faire quelque chose, mais que rien n'est fait.
Le MOOC sur l'art de noyer le poisson, c'est grandeur nature et tous les jours sur OC.
Le fait de rendre public le code source serait peut-être encore plus risqué ?
Tant que l'on ignore le code source, on ignore peut-être beaucoup de failles, mais dès que de gros hacker peuvent y mettre leur nez, ils peuvent chercher les failles comme ils le veulent.
Certes, si le "hacker" est bien intentionné, il le signalera, mais si c'est tout l'inverse, il s'amusera avec.
Le principal problème est la situation où le hackeur mal intentionné, et lui seul, a connaissance de la faille. Ce qui est tout à fait possible ici. Ce n'est pas pour rien que les plus grands algorithmes de cryptage sont toujours publics. La sécurité de doit jamais résider dans le secret mais dans l'objective efficacité.
Le fait de rendre public le code source serait peut-être encore plus risqué ?
Tant que l'on ignore le code source, on ignore peut-être beaucoup de failles, mais dès que de gros hacker peuvent y mettre leur nez, ils peuvent chercher les failles comme ils le veulent.
Certes, si le "hacker" est bien intentionné, il le signalera, mais si c'est tout l'inverse, il s'amusera avec.
Le fait que le code soit fermé n'a jamais empêché les gens de trouver des failles. Par contre, il a rendu possible leur exploitation : on a déjà vu SimpleIT corriger des failles particulières en négligeant les cas similaires qui se trouvaient sur le site (et donc des failles restaient exploitables). En ouvrant le code, on aurait probablement pu le faire à leur place plus rapidement qu'ils n'ont su le faire, mais visiblement ça ne les intéresse pas (leur paranoïa ridicule est plus importante).
Cela étant, la dernière fois que j'ai vu quelqu'un signaler une faille à Mathieu Nebra, sa réponse était à peu de choses près « ok, rendez-vous à 14h sous la Tour Eiffel, j'aurai une mallette bleue » — ce qui est un peu rigolo, pas très sérieux par contre, et montre surtout qu'ils ne sont pas très intéressés par la qualité de leur code.
La raison la plus probable, à mon sens, au fait qu'ils cachent les sources du site, est qu'ils en ont honte !
En attendant, je m'en fout que le code soit tout pourri, mais je suis franchement dégoûté qu'une telle faille - mettant S-IT dans l'illégalité - puisse rester aussi longtemps sans correction et cela, apparemment, malgré plusieurs signalements sur plusieurs supports (twitter étant le seul qu'ils considèrent).
Le fait de rendre public le code source serait peut-être encore plus risqué ?
Tant que l'on ignore le code source, on ignore peut-être beaucoup de failles, mais dès que de gros hacker peuvent y mettre leur nez, ils peuvent chercher les failles comme ils le veulent.
Certes, si le "hacker" est bien intentionné, il le signalera, mais si c'est tout l'inverse, il s'amusera avec.
Le fait que le code soit fermé n'a jamais empêché les gens de trouver des failles.
En effet, je n'ai jamais dit ça. Je suggérais qu'un code fermé conserve quelques éventuels secrets : par exemple, si on ne connait pas l'emplacement de l'interface admin ni son contenu, on peux essayer d'y trouver des failles jours et nuit, ça risque d'être moyennement concluant.
Le fait de rendre public le code source serait peut-être encore plus risqué ?
Tant que l'on ignore le code source, on ignore peut-être beaucoup de failles, mais dès que de gros hacker peuvent y mettre leur nez, ils peuvent chercher les failles comme ils le veulent.
Certes, si le "hacker" est bien intentionné, il le signalera, mais si c'est tout l'inverse, il s'amusera avec.
Le fait que le code soit fermé n'a jamais empêché les gens de trouver des failles.
En effet, je n'ai jamais dit ça. Je suggérais qu'un code fermé conserve quelques éventuels secrets : par exemple, si on ne connait pas l'emplacement de l'interface admin ni son contenu, on peux essayer d'y trouver des failles jours et nuit, ça risque d'être moyennement concluant.
Ce que tu décris représente 90% du travail d'un bon hacker.