Netvibes victime d’une vulnérabilité à travers un module tiers

Cloud

Un développeur a posté sur un blog des éléments sensibles sur les coulisses
du service de page d’accueil personnalisable. Netvibes a vite réagi.

Ce week-end, l’équipe de Netvibes, qui propose une page d’accueil personnalisable pour chaque internaute, a été mobilisée afin de combler une vulnérabilité apparue à travers un module Web tiers. Dans une contribution datée du 5 février sur le blog de la jeune pousse tendance “Web 2.0”, son fondateur Tarik Krim donne des précisions sur la réactualisation de la sécurité liée aux modules tiers sur l’écosystème Netvibes.

“Nous avons été alerté hier [dimanche 4 février donc, ndlr] par un blog concernant une vulnérabilité dans Webnotes [la fonctionnalité bloc-note] lorsqu’on utilise un module tiers. Un correctif était programmé plus tard dans la semaine, mais, compte tenu de l’alerte récente, nous avons décidé de le mettre en ligne aujourd’hui. Cette vulnérabilité est désormais fixée”, explique Tarik Krim dans sa contribution.

Pourquoi cet empressement de la part de Netvibes ? L’origine de l’alerte chaude est à trouver sur un autre blog qu’un développeur avait ouvert sur la plate-forme Blogspot de Google. Se présentant sous une double casquette (utilisateur de Netvibes et programmeur de modules tiers pour l’écosystème dédié à ce service de personnalisation), ce contributeur anonyme expliquait comment il avait réussi à accéder aux données personnelles de plusieurs milliers d’utilisateurs, leurs mots de passe et leurs comptes Google. “J’ai eu aussi accès au site utilisé par l’équipe de Netvibes pour développer notre site favori “, se targue-t-il dans sa contribution.

A partir de son propre module, il explore la face cachée de Netvibes

Tout commence par la création d’un module tiers Netvibes, développé par ce contributeur et validé une première fois par l’équipe de Netvibes. Jusqu’ici, tout va bien sauf qu’il pousse son projet plus en modifiant le code de son module “sans aucune étape de revalidation de la part de Netvibes”. C’est à partir de cette nouvelle application qu’il part explorer la face cachée de Netvibes.

Toujours selon la description donnée par ce développeur, il serait capable d’exploiter des éléments d’un utilisateur Netvibes ayant ajouté son propre module : hacker sa page d’accueil personnalisée, utiliser son adresse e-mail de connexion sur Netvibes pour spammer, accéder aux calendriers Gmail et aux libellés Gmail, disposer des notes saisies sur Webnotes…Voici pour les usages dérivés côté utilisateurs.

Mais notre développeur décidémment très hardi va plus loin : toujours selon les éléments laissés sur son blog, il serait parvenu à récupérer les logins d’accès d’un site de développement et d’un wiki utilisé par les développeurs de Netvibes, ainsi qu’un login d’accès vers une base de données de sauvegarde abritant toutes les données des utilisateurs.

La question de l’éthique du hacking

Inutile de retrouver le blog d’origine sur Blogspot.com qui retraçait la visite impromptue dans les coulisses du service Netvibes. Son accès a été coupé mais on retrouve des traces de ce billet hébergés sur d’autres blogs.

Retour sur la contribution de Tarik Krim en réaction aux tribulations de Netvibes. Le fondateur du service de portail personnalisable se montre irrité par l’auteur de ces révélations : “Notre réaction a été immédiate parce que le développeur de module a exposé une vulnérabilité sur son blog de manière non éthique sans prendre le soin de nous contacter au préalable”.

Une question qui a pourtant taraudé l’auteur mis en cause et qui a peut-être fait le mauvais choix : “Soit je contacte Netvibes, je leur signale les problèmes, ils corrigents et personne n’en entend parler?.Et les utilisateurs continueront de ne pas se soucier de leurs données personnelles. Soit je crée ce blog pour essayer modestement à mon niveau de faire changer les choses”, pouvait-on lire sur son billet à l’origine du clash.

Contacté par Vnunet.fr dans la soirée de lundi, Tarik Krim n’a pas apprécié la démarche qui s’apparenterait sous certains angles à une tentative d’intrusion dans un système informatique (ce qui tombe dans le domaine du pénal en France). “Le développeur nous a contacté soit au moment de la mise en ligne de son blog ou juste après”, considère le fondateur de Netvibes. “De toute manière, on s’est retrouvé devant le fait accompli”. Tarik Krim estime “qu’après avoir pris conscience du tort causé, l’auteur a retiré lui-même son blog”.

L’incident est mal tombé pour Tarik Krim, qui vient tout juste de passer 15 heures en vol dans un périple Paris-Londres-San Francisco. Un retard pris à cause d’une alerte terroriste à l’aéroport d’Heathrow. Mais Netvibes a retenu la leçon : le service Web 2.0, qui recense désormais plus de 10 millions de comptes ouverts dans le monde et anime un réseau d’un millier de développeurs, s’engage désormais à renforcer la sécurité liée au volet du développement de modules tiers avec un système d’audit, de notation et de certification des applications auprès des utilisateurs.


Lire la biographie de l´auteur  Masquer la biographie de l´auteur