Aujourd’hui, nous vous proposons de découvrir Victor, un jeune chercheur en sécurité de 15 ans, qui a mis la main sur une faille serveur qui touche quasiment tout le monde. L’histoire qui suit risque même de vous faire flipper tellement elle est importante, et d’autant plus qu’elle touche les sites les plus réputés comme Apple ou encore Tesla. Cette faille serveur est également présente chez iPhonote, mais aussi chez nos confères Mac4ever, iPhoneaddict ou encore iGen et bien d’autres, nous a-t-il confirmé.

Victor, un lyonnais, se fait aussi appelé « cod3x » sur bugcrowd.com. Il nous a raconté un peu son parcours : « Dès mon plus jeune âge, j’ai commencé l’informatique à 10 ans en créant des sites internet puis après je me suis interrèssé à Apple en devenant un « Apple Addict » ». C’est là qu’il a décidé de s’intéresser dans premier temps aux failles chez Apple.

une-grosse-faille-serveur-permet-de-pirater-les-comptes-mails

Depuis toutes années, il a donc cherché et trouvé des failles dont une récemment dans iOS, ce qui lui permet aujourd’hui de recevoir des récompenses à chacune de ses découvertes, et encore plus lorsqu’il apporte une solution clé en main pour fixer la faille : « Je gagne ma vie grâce au bug Bounty d’entreprise c’est à dire une course au trésor des bugs, chaque bug est récompensé par une somme d’argent en fonction de l’importance de la faille. Les plus gros payeurs de failles sont Google, PayPal… Apple n’a pas de bug Bounty mais donne un crédit au développeur. » En plus d’Apple, il s’est aussi intéressé à Tesla pour notamment chercher des bugs dans le logiciel de l’écran tactile de la voiture, ainsi qu’à d’autres marques.

La faille serveur dont il nous parle aujourd’hui est une astuce php qui consiste à faire un formulaire de contact mais avec la possibilité de rentrer une adresse mail de l’expéditeur. Dans ce champs, il écrit l’adresse email qu’il veux et l’email est envoyé via un serveur avec un domaine. La solution la plus rapide pour éviter d’être pirater est de diminuer le nombre de port pour l’envoi de mails, en lui admettant qu’un seul port, en attendant qu’une solution définitive soit trouvée.

Victor a été en mesure de nous expliquer en détails la procédure et nous a prouvé que cette faille existait bien avec l’un de nos propres comptes mails. Nous sommes d’ailleurs en train de voir pour fixer cela auprès de notre hébergeur. Alors si vous êtes propriétaire d’un site, mieux vaut prendre vos précautions dès à présent en contactant votre hébergeur afin qu’il vous aide dans cette démarche.

Dîtes-nous dans les commentaires, si vous avez également reçu un mail à partir de votre propre compte mail par une tierce personne.

4 Commentaires

  1. Bonjour,
    Suite à votre commentaire je réagis.
    Après avoir étudié vos propos j’ai posée la question à un expert en sécurité informatique.
    Selon lui la suppression des ports n’était pas une idée stupide puisque les serveurs utilisent un port pour envoyer leur e-mail via le php. Autrement il m’a aussi dit qu’une protection SMTP était plus envisageable.
    Vous pouvez me contacter sur mon addresse mail plus haut.
    Cordialement

  2. Je suis développeur web et administrateur système et votre article c’est du n’importe quoi.. La « faille » en question n’en est pas une, on peut via un serveur envoyer des email en personnalisant l’expéditeur et cela depuis la nuit des temps. Et puis « diminuer le nombre de ports pour l’envoi d’e-mail » wtf?!? Vraiment n’importe quoi..

Répondre à VictorAnnuler la réponse.