Ce pirate a réussi à accéder à des centaines d’entreprises avec une astuce d’une simplicité absurde.

Publié parAngie Vailenovembre 1, 2018|

Connaissez-vous une entreprise qui utilise Slack, Yammer ou Facebook Workplace pour gérer les communications avec ses employés et une entreprise qui, en plus de ce qui précède, dispose d’un système de support technique basé sur des tickets, qu’elle possède ou gère par Zendesk, Kayako, Freshdesk ou WHMCS ? Vous avez tout ce qu’il faut pour pirater cette entreprise.

Inti De Ceukelaire

Inti De Ceukelaire est un chercheur belge en sécurité qui a trouvé un moyen très simple d’accéder aux communications internes de centaines d’entreprises à travers son service technique. Il ne s’agit pas de tromper le personnel informatique de l’entreprise, mais plutôt son système de billetterie. Tout ce que vous avez à faire est de deviner une adresse e-mail pour accéder à cette entreprise et, potentiellement, à ses comptes intranet et de réseau social.

La plupart des entreprises configurent leurs espaces Slack, Yammer et Facebook Workplace de manière à ce qu’ils ne soient accessibles qu’aux personnes invitées par un administrateur ou qui, à défaut, utilisent une adresse e-mail avec le domaine de l’entreprise. C’était l’affaire de Vimeo.

De Ceukelaire savait que Vimeo utilisait Slack pour ses communications internes et qu’en même temps, elle disposait d’un système de billetterie sur son site Web pour fournir un support technique. Il savait aussi que s’il essayait de s’inscrire au Vimeo Slack, celui-ci lui enverrait un lien via feedback@slack.com pour vérifier son adresse e-mail. D’autre part, De Ceukelaire soupçonnait que tous les courriels envoyés à support@vimeo.com avaient fini par créer un ticket dans le propre système de support technique de Vimeo.

Comment il a pirater au Slack de Vimeo

Tu vois où ça mène, n’est-ce pas ? De Ceukelaire a créé un compte Vimeo avec l’email feedback@slack.com et s’est ensuite inscrit à Slack à l’adresse support@vimeo.com. Slack lui a alors envoyé un lien pour confirmer son adresse et il a créé un ticket Vimeo lié à son nouveau compte. C’est ainsi qu’Inti De Ceukelaire a eu accès au Slack de Vimeo.

Le truc, explique le jeune hacker sur son blog, a travaillé non seulement avec Slack mais aussi avec des plateformes comme Yammer. Du côté du support technique, il a également trompé les systèmes Kayako et Zendesk, ce qui ne l’a pas obligé à confirmer son adresse. De plus, l’astuce lui a permis de pirater les comptes Twitter des entreprises qui utilisaient support@empresa.com pour réinitialiser leur mot de passe. Dans certains cas, il a même suffi d’enregistrer no-reply@empresa.com pour intercepter le jeton de réinitialisation du mot de passe de support@empresa.com et avoir accès à tous les billets.

De Ceukelaire a informé les entreprises concernées de ses conclusions et a reçu au moins 16 000 $ en récompenses. Grâce à son bon travail, Slack a décidé d’ajouter une variable à son adresse de non-réponse. Une autre solution plus simple serait de bloquer l’accès à Slack aux utilisateurs du domaine et d’utiliser à la place un système d’invitations autorisé par un administrateur.

Les actualités

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *