Un chercheur en sécurité informatique a découvert qu'il était possible d'accéder aux serveurs de Pocket et de modifier les listes de lecture ou consulter celles des utilisateurs, avec répercussion sur l'ensemble des appareils synchronisés. Y compris, donc, dans Firefox qui intègre par défaut l'application propriétaire depuis deux mois.

En juin dernier lors de la sortie de Firefox 38.0.5, Mozilla a pris la décision très contestée d'intégrer l'add-on propriétaire Pocket dans Firefox (désormais uniquement sur les versions anglophones), qui permet de sauvegarder des pages web pour les lire plus tard hors ligne, et de synchroniser ces "favoris" entre plusieurs appareils. Pocket avait été intégré en vertu d'un partenariat commercial qui confirme que l'éditeur de logiciels libres glisse de plus en plus vers un modèle économique qui le distingue peu de ses concurrents, fait davantage de publicités que de dons. Une transformation voulue par la nouvelle direction de la fondation Mozilla, mais qui oblige l'éditeur à marcher sur les fragiles oeufs de sa réputation.

Or en réponse aux critiques acerbes reçues notamment sur Bugzilla, sur les newsgroups, sur Hacker News et sur de très nombreux blogs (dont en France Korben), Mozilla avait eu cette réponse que l'on peut résumer ainsi, en préservant un langage correct : "allez vous faire voir". L'éditeur avait en effet affirmé que l'intégration de Pocket dans le navigateur libre était appréciée par les utilisateurs qui ne soucient pas des vues intégristes des libristes, et que le code-source était visible en ce qui concerne le module d'intégration de Pocket dans Firefox. Et qu'au pire, ceux qui n'étaient pas contents pouvaient le désactiver. 

Oui mais voilà.

Le chercheur en sécurité informatique Clint Ruoho a découvert une faille exploitable, qui n'était pas logée du côté du module open-source intégré à Firefox, mais du côté serveur. En résumé et en simplifiant à grand trait, Ruoho pouvait envoyer une requête pour mettre dans sa liste de lectures des fichiers protégés présents sur les serveurs de Pocket, qui sont en principe inaccessibles depuis l'extérieur, mais qui sont accessibles par les applications qui mémorisent le contenu à synchroniser entre les appareils. Ainsi le hacker a pu obtenir le contenu du fichier /etc/passwd, et gagner l'accès au serveur en tant que root. Il assure qu'il aurait pu ensuite obtenu les clés SSH des serveurs Amazon EC2 utilisés, les adresses IP internes, ou créer de nouveaux serveurs aux frais de Pocket.

Mais surtout selon le chercheur Ty Miller cité par The Register, la faille aurait pu permettre à un pirate de modifier les listes de lecture des utilisateurs pour y glisser des liens malveillants, ou regarder qui lit quoi.

La faille a été signalée à Pocket le 25 juillet 2015, et corrigée le 28. En raison d'un accord, la divulgation a été retardée de trois semaines.

Partager sur les réseaux sociaux

Articles liés