Archives mensuelles : septembre 2011

Compte Twitter piraté, comment réagir

Les cordonniers sont toujours les plus mal chaussés. Je ne suis pas cordonnier mais expert en sécurité et c’est donc la deuxième fois que je me fais pirater cette année (et de ma vie BTW). Si la première avait été bon enfant et s’était faite de façon très sport, cette fois-ci on a affaire à un vilain méchant on dirait.

C’est mon compte Twitter qui a été la cible, cette nuit vers 1h30, d’une intrusion. Le méchant hacker (dont je ne connais pas l’identité, mais on y reviendra, d’ici là appelons le méchant hacker) a vraisemblablement mis la main sur mon mot de passe et a utilisé l’interface Web de Twitter pour publier le message suivant :

Bon à cette heure-ci j’étais en train de boire une bière (ou plus) avec des amis mais ne blâmons pas de suite notre méchant hacker : il m’est arrivé plusieurs fois de passer des nuits à hacker, pour le taff ou pour le plaisir (mais il ne faut pas mélanger). Ceci dit ici le message est clair, je dois me taire parce que je ne suis pas irréprochable.

Euh oui mais non… En effet, ce mot de passe est relativement faible car il s’agit d’un de mes mots de passe root (non pas pour mes machines, rassurez vous) : un mot de passe que je dérive entre plusieurs sites en fonction de ceux-ci (cf cet article). Le fait est que là, pour une raison qui m’échappe (Twitter n’interdit pas les caractères spéciaux) je l’avais laissé tel quel. Connerie de ma part, j’en conviens mais au moins je sais pourquoi.

J’ai cherché un peu à comprendre comment le méchant hacker s’en était débrouillé pour ouvrir cette porte et puis j’ai préféré fermer les autres. Il m’a donc fallu, toute la matinée durant, chercher tous les services sur lesquels j’utilise ce mot de passe root et les changer (merci c’était fun) ce que je fais de toutes façons de temps à autres.

Mais plus important, et vu que l’on parle de Twitter, il faut aussi révoquer toutes les autorisations des applications, laisser mourir le cache et re-connecter celles qui sont réellement utiles. De telle sorte que les 0Auth qui gèrent la connexion entre Twitter et les applications prennent bien en compte le changement de mot de passe et ne conservent pas un token périmé.

Si cela vous arrive et que vous utilisez ce mot de passe ailleurs, changez le en priorité. Des services les plus importants que j’ai vérifié ce matin je ne l’utilisais pas ailleurs et donc la personne n’a eu accès qu’à mes DM Twitter (rien de réellement confidentiel même s’il y avait des trucs perso supprimés depuis).

Finalement non je ne vais pas me taire, mais oui j’ai perdu une demi-journée pour un vilain kiddie que je suspecte grandement d’avoir bruteforcé un md5 trouvé je ne sais où… bravo donc à lui, si tu avais signé j’aurai même pu être sympa avec toi… Là j’ai demandé à Twitter qui est à l’origine du tweet en question et je te souhaite d’être passé par un minimum d’anonymisation, bisous méchant hacker 🙂

#Hadopi : La négligence labellisée

Je n’aime pas être méchant (non vraiment) mais en même temps je n’aime pas me répéter non plus. Force est de constater que depuis des années (4 si l’on compte bien) nombreux sont ceux qui ont dit et répété que la Hadopi oubliait beaucoup de paramètres – certains sans même remettre en cause sa raison d’être (du moins l’officielle) : la lutte contre le partage…

Et puis il y a eu un espoir, la mission de la Hadopi prendrait aussi en compte la labellisation de l’offre légale et celle de moyens de sécurisation. J’ai espéré que du positif ressortirait de tout cela, que le consommateur aurait au moins un intérêt à la Hadopi…

Résultat la labellisation commence à tomber, elle a un nom à coucher dehors et à dormir debout (PUR pour ceux qui découvrent, après avoir été des pirates nous sommes maintenant des impurs) et est censée certifier à l’utilisateur que « oui ma bonne dame, ce site là il est gentil avec les artistes, pas comme ces pirates impurs qui tuent les artistes de qualitay que la star’ac a tellement de mal à pondre chaque année ! ».

Bon dans la réalité des faits on a déjà vu que tout cela était du bullshit (j’emprunte cette expression là aussi de qualitay à une amie journaliste qui se reconnaitra avec ses théories du complot) – dans la pratique c’est encore pire…

Sur son Twitter le site VODMania (que je ne connaissais pas, contre lequel je n’ai absolument rien et que je suis près à aider pro-bono sur le problème que je vais soulever ici) vient d’annoncer avoir reçu le si précieux label… Manque de chance, je suis sur le hashtag #Hadopi 24/7 (en moyenne, des fois plus) et forcément je veux voir de quoi il retourne – quel est ce site qui arborera bientôt fièrement un logo « culture-poubelle compliant » (aussi appelé le label « je préfère le clone de ton label PUR »).

Et là bonne et mauvaise surprise : le site a l’air intéressant, les contenus aussi… Mais la forme n’a manifestement pas été validée par notre chère Hadopi, toute juste rentrant de vacances. En quelques secondes l’on peut en effet exploiter un XSS béant pour injecter absolument ce que l’on veut dans le site y compris, au hasard, un lien vers un contenu qu’il n’est pas compliant du tout avec le clone du label d’Emma LePrince !

Donc en plus de ne se baser que sur une portion du catalogue (à partir d’un seul contenu ?) le label ne tient pas compte d’éventuels problèmes de sécurité du site lui-même… Au bout d’un moment on se demande à quoi il peut bien servir, mais rassurons nous : on n’a toujours aucune nouvelle des moyens de sécurisation de la connexion Internet et les premiers accusés sont finalement priés de rester chez eux.

C’est pas une odeur de présidentielle que je sens là ?

PS : merci de ne pas vous acharner sur cette plateforme…