Greboca  

LinuxFr.org : les journaux  -  Première faille de sécurité dans Tchap

 -  Avril 2019 - 

Tchap, l'application de messagerie instantanée du gouvernement, basée sur Riot, a souffert d'une grave faille de sécurité dès son lancement.

Le hacker Robert Baptiste Aussi connu sur twitter sous Elliot Alderson, a réussi à accéder aux salons privés de l’Élysée, en …une heure et quart.

Voici une traduction approximative du modus operandi employé par Robert. La page de blog originale est à la fin du journal.

L'application est disponible sur le google play store, mais il faut une adresse email @gouv.fr ou @elysee.fr pour y accéder.

Après décompilation de l'application, on peut voir la liste des salons:

La liste des salons est disponible dans l'application :

  • matrix.agent.dev-durable.tchap.gouv.fr
  • matrix.agent.dinum.tchap.gouv.fr
  • matrix.agent.intradef.tchap.gouv.fr
  • matrix.agent.diplomatie.tchap.gouv.fr
  • etc…

I set id_server to matrix.agent.elysee.tchap.gouv.fr. For info, Elysée is the French presidential palace. As I choose this server I guessed I should have an @elysee.fr email address. So, in the requestToken request, I modified email to fs0c131y@protonmail.com@elysee.fr. Hum, no validation email in my inbox…

J'ai réglé la valeur de 'id_server' à "matrix.agent.elysee.tchap.gouv.fr". Pour info (sic), Élysée est le palace présidentiel. Comme j'ai choisi ce serveur, je suppose que je dois avoir une adresse email @elysee.fr. Dans la requête "requestToken", j'ai modifié l'email par fs0c131y@protonmail.com@elysee.fr. Bon, pas d'email de validation dans ma boîte aux lettres…

Wait, maybe it is waiting a known @elysee.fr email address. So I did a Google search “email @elysee.fr”

Attendons, peut être qu'il faut une adresse réelle @elysee.fr. J'ai donc fait une recherche google "email @elysee.fr"

So I did another try and in the requestToken request and I modified email to fs0c131y@protonmail.com@presidence@elysee.fr. Bingo! I received an email from Tchap, I was able to validate my account!

J'ai donc essayé une nouvelle fois la requête "requestToken" et j'ai modifié l'email à "fs0c131y@protonmail.com@presidence@elysee.fr". Bingo! j'ai reçu un email de Tchap, j'ai été en mesure de confirmer mon compte.

"I am logged as an Elysée employee, and I had access to the public rooms."

Je suis connecté en tant qu'employé de l'élysée, et j'ai accès aux salons public.

Funny thing: an employee of the Ministry of Agriculture created a “Yellow room” for “people who loves the yellow”.

Fait amusant, un employé du ministère de l'agriculture a crée un "Salon jaune" pour "ceux qui aiment le jaune".

Analyse des faits:
- 9:00: D@ebut de l'analyse
- 10:15: Putain, je suis dedans
- 10:35: J'ai donné quelque coups de fil pour contacter l'employé du gouvernement en charge de Tchap.
- 11:19: J'ai donné les détails de la faille de sécurité à l'équipe en charge de Matrix.
- 14:00 pm: Matrix a résolu la faille et publié une alerte sur Twitter https://twitter.com/matrixdotorg/status/1118859344790077441
- 17:42: Appel avec les officiels du gouvernement
- 19:48: Matrix publie une entrée de blog pour expliquer la faille en détail.

Liens
- Le blog de R.Baptise

Commentaires : voir le flux atom ouvrir dans le navigateur

par Andre Rodier

LinuxFr.org : les journaux

LinuxFr.org : Journaux

PullRequest d'une application en Rust

 -  16 mars - 

Sommaire Le commencement Description du pool de stockage de BackupPC Le format des fichiers compressés Le format des fichiers d'attributs Le (...)


Jouons un peu avec linuxfr et CSS3

 -  16 mars - 

De temps en temps, j'ai besoin de me détendre, et je joue un peu avec les tech du web, entre deux déploiements.J'aime bien HTML5 et CSS, (...)


Traduction : Payer ne permet pas d'échapper aux monopoles

 -  6 mars - 

Sommaire Contexte Traduction ContexteAyant récemment découvert dans la section liens de LinuxFr le plus récent blog de C. Doctorow, le caractère (...)


Bim! On parle de dev de jeu mobile, de gestion de projet, de dépendances, etc.

 -  29 février - 

Sommaire Les grandes lignes La techno Godot Bevy SDL Axmol Le dev Le tout début La suite Le mode en ligne Interface graphique Android Intégration (...)


[HS] Chroniques romuliennes - Chapitre X : “Juste le bout du doigt”

 -  29 février - 

Dans les épisodes précédents, les Romuliens ont réussi à obtenir nos données de santé, les Voths ont les plans de nos aéronefs, les Andoriens gèrent nos (...)