LinuxFr.org : les journaux  -  Première faille de sécurité dans Tchap

 -  Avril 2019 - 

Tchap, l'application de messagerie instantanée du gouvernement, basée sur Riot, a souffert d'une grave faille de sécurité dès son lancement.

Le hacker Robert Baptiste Aussi connu sur twitter sous Elliot Alderson, a réussi à accéder aux salons privés de l’Élysée, en …une heure et quart.

Voici une traduction approximative du modus operandi employé par Robert. La page de blog originale est à la fin du journal.

L'application est disponible sur le google play store, mais il faut une adresse email @gouv.fr ou @elysee.fr pour y accéder.

Après décompilation de l'application, on peut voir la liste des salons:

La liste des salons est disponible dans l'application :

• matrix.agent.dev-durable.tchap.gouv.fr
• matrix.agent.dinum.tchap.gouv.fr
• matrix.agent.intradef.tchap.gouv.fr
• matrix.agent.diplomatie.tchap.gouv.fr
• etc…

I set id_server to matrix.agent.elysee.tchap.gouv.fr. For info, Elysée is the French presidential palace. As I choose this server I guessed I should have an @elysee.fr email address. So, in the requestToken request, I modified email to fs0c131y@protonmail.com@elysee.fr. Hum, no validation email in my inbox…

J'ai réglé la valeur de 'id_server' à "matrix.agent.elysee.tchap.gouv.fr". Pour info (sic), Élysée est le palace présidentiel. Comme j'ai choisi ce serveur, je suppose que je dois avoir une adresse email @elysee.fr. Dans la requête "requestToken", j'ai modifié l'email par fs0c131y@protonmail.com@elysee.fr. Bon, pas d'email de validation dans ma boîte aux lettres…

Wait, maybe it is waiting a known @elysee.fr email address. So I did a Google search “email @elysee.fr”

Attendons, peut être qu'il faut une adresse réelle @elysee.fr. J'ai donc fait une recherche google "email @elysee.fr"

So I did another try and in the requestToken request and I modified email to fs0c131y@protonmail.com@presidence@elysee.fr. Bingo! I received an email from Tchap, I was able to validate my account!

J'ai donc essayé une nouvelle fois la requête "requestToken" et j'ai modifié l'email à "fs0c131y@protonmail.com@presidence@elysee.fr". Bingo! j'ai reçu un email de Tchap, j'ai été en mesure de confirmer mon compte.

"I am logged as an Elysée employee, and I had access to the public rooms."

Je suis connecté en tant qu'employé de l'élysée, et j'ai accès aux salons public.

Funny thing: an employee of the Ministry of Agriculture created a “Yellow room” for “people who loves the yellow”.

Fait amusant, un employé du ministère de l'agriculture a crée un "Salon jaune" pour "ceux qui aiment le jaune".

Analyse des faits:
- 9:00: D@ebut de l'analyse
- 10:15: Putain, je suis dedans
- 10:35: J'ai donné quelque coups de fil pour contacter l'employé du gouvernement en charge de Tchap.
- 11:19: J'ai donné les détails de la faille de sécurité à l'équipe en charge de Matrix.
- 14:00 pm: Matrix a résolu la faille et publié une alerte sur Twitter https://twitter.com/matrixdotorg/status/1118859344790077441
- 17:42: Appel avec les officiels du gouvernement
- 19:48: Matrix publie une entrée de blog pour expliquer la faille en détail.

Liens
- Le blog de R.Baptise

Commentaires : voir le flux atom ouvrir dans le navigateur

par Andre Rodier