Première faille de sécurité dans Tchap

Tchap, l'application de messagerie instantanée du gouvernement, basée sur Riot, a souffert d'une grave faille de sécurité dès son lancement. Le hacker Robert Baptiste Aussi connu sur twitter sous Elliot Alderson, a réussi à accéder aux salons privés de l’Élysée, en …une heure et quart. Voici une traduction approximative du motus operandi employé par Robert. La page de blog originale est à la fin du journal. L'application est disponible sur le google play store, mais il faut une adresse email @gouv.fr ou @elysee.fr pour y accéder. Après décompilation de l'application, on peut voir la liste des salons: La liste des salons est disponible dans l'application : matrix.agent.dev-durable.tchap.gouv.fr matrix.agent.dinum.tchap.gouv.fr matrix.agent.intradef.tchap.gouv.fr matrix.agent.diplomatie.tchap.gouv.fr etc… I set id_server to matrix.agent.elysee.tchap.gouv.fr. For info, Elysée is the French presidential palace. As I choose this server I guessed I should have an @elysee.fr email address. So, in the requestToken request, I modified email to fs0c131y@protonmail.com@elysee.fr. Hum, no validation email in my inbox… J'ai réglé la valeur de 'id_server' à "matrix.agent.elysee.tchap.gouv.fr". Pour info (sic), Élysée est le palace présidentiel. Comme j'ai choisi ce serveur, je suppose que je dois avoir une adresse email @elysee.fr. Dans la requête "requestToken", j'ai modifié l'email par fs0c131y@protonmail.com@elysee.fr. Bon, pas d'email de validation dans ma boîte aux lettres… Wait, maybe it is waiting a known @elysee.fr email address. So I did a Google search “email @elysee.fr” Attendons, peut être qu'il faut une adresse réelle @elysee.fr. J'ai donc fait une recherche google "email @elysee.fr" So I did another try and in the requestToken request and I modified email to fs0c131y@protonmail.com@presidence@elysee.fr. Bingo! I received an email from Tchap, I was able to validate my account! J'ai donc essayé une nouvelle fois la requête "requestToken" et j'ai modifié l'email à "fs0c131y@protonmail.com@presidence@elysee.fr". Bingo! j'ai reçu un email de Tchap, j'ai été en mesure de confirmer mon compte. "I am logged as an Elysée employee, and I had access to the public rooms." Je suis connecté en tant qu'employé de l'élysée, et j'ai accès aux salons public. Funny thing: an employee of the Ministry of Agriculture created a “Yellow room” for “people who loves the yellow”. Fait amusant, un employé du ministère de l'agriculture a crée un "Salon jaune" pour "ceux qui aiment le jaune". Analyse des faits: - 9:00: D@ebut de l'analyse - 10:15: Putain, je suis dedans - 10:35: J'ai donné quelque coups de fil pour contacter l'employé du gouvernement en charge de Tchap. - 11:19: J'ai donné les détails de la faille de sécurité à l'équipe en charge de Matrix. - 14:00 pm: Matrix a résolu la faille et publié une alerte sur Twitter https://twitter.com/matrixdotorg/status/1118859344790077441 - 17:42: Appel avec les officiels du gouvernement - 19:48: Matrix publie une entrée de blog pour expliquer la faille en détail. Liens - Le blog de R.Baptise Télécharger ce contenu au format Epub Commentaires : voir le flux atom ouvrir dans le navigateur

group_work LinuxFRJournaux 24 April, 2019