Greboca  

LinuxFr.org : les journaux  -  Première faille de sécurité dans Tchap

 -  26 avril - 

Tchap, l'application de messagerie instantanée du gouvernement, basée sur Riot, a souffert d'une grave faille de sécurité dès son lancement.

Le hacker Robert Baptiste Aussi connu sur twitter sous Elliot Alderson, a réussi à accéder aux salons privés de l’Élysée, en …une heure et quart.

Voici une traduction approximative du modus operandi employé par Robert. La page de blog originale est à la fin du journal.

L'application est disponible sur le google play store, mais il faut une adresse email @gouv.fr ou @elysee.fr pour y accéder.

Après décompilation de l'application, on peut voir la liste des salons:

La liste des salons est disponible dans l'application :

  • matrix.agent.dev-durable.tchap.gouv.fr
  • matrix.agent.dinum.tchap.gouv.fr
  • matrix.agent.intradef.tchap.gouv.fr
  • matrix.agent.diplomatie.tchap.gouv.fr
  • etc…

I set id_server to matrix.agent.elysee.tchap.gouv.fr. For info, Elysée is the French presidential palace. As I choose this server I guessed I should have an @elysee.fr email address. So, in the requestToken request, I modified email to fs0c131y@protonmail.com@elysee.fr. Hum, no validation email in my inbox…

J'ai réglé la valeur de 'id_server' à "matrix.agent.elysee.tchap.gouv.fr". Pour info (sic), Élysée est le palace présidentiel. Comme j'ai choisi ce serveur, je suppose que je dois avoir une adresse email @elysee.fr. Dans la requête "requestToken", j'ai modifié l'email par fs0c131y@protonmail.com@elysee.fr. Bon, pas d'email de validation dans ma boîte aux lettres…

Wait, maybe it is waiting a known @elysee.fr email address. So I did a Google search “email @elysee.fr”

Attendons, peut être qu'il faut une adresse réelle @elysee.fr. J'ai donc fait une recherche google "email @elysee.fr"

So I did another try and in the requestToken request and I modified email to fs0c131y@protonmail.com@presidence@elysee.fr. Bingo! I received an email from Tchap, I was able to validate my account!

J'ai donc essayé une nouvelle fois la requête "requestToken" et j'ai modifié l'email à "fs0c131y@protonmail.com@presidence@elysee.fr". Bingo! j'ai reçu un email de Tchap, j'ai été en mesure de confirmer mon compte.

"I am logged as an Elysée employee, and I had access to the public rooms."

Je suis connecté en tant qu'employé de l'élysée, et j'ai accès aux salons public.

Funny thing: an employee of the Ministry of Agriculture created a “Yellow room” for “people who loves the yellow”.

Fait amusant, un employé du ministère de l'agriculture a crée un "Salon jaune" pour "ceux qui aiment le jaune".

Analyse des faits:
- 9:00: D@ebut de l'analyse
- 10:15: Putain, je suis dedans
- 10:35: J'ai donné quelque coups de fil pour contacter l'employé du gouvernement en charge de Tchap.
- 11:19: J'ai donné les détails de la faille de sécurité à l'équipe en charge de Matrix.
- 14:00 pm: Matrix a résolu la faille et publié une alerte sur Twitter https://twitter.com/matrixdotorg/status/1118859344790077441
- 17:42: Appel avec les officiels du gouvernement
- 19:48: Matrix publie une entrée de blog pour expliquer la faille en détail.

Liens
- Le blog de R.Baptise

Commentaires : voir le flux atom ouvrir dans le navigateur

par Andre Rodier

LinuxFr.org : les journaux

LinuxFr.org : Journaux

Une nouvelle interface graphique pour WBO

 -  24 juin - 

Il y quelques temps, j'ai évoqué ici WBO, un logiciel libre de dessin collaboratif en ligne (dépêche). Le logiciel a bien évolué depuis l'annonce (...)


Les 10 ans d'Hadopi

 -  13 juin - 

Pour les 10 ans de la Hadopi et ses psychodrames de cacahuètes, môssieur Marc Rees, rédacteur en chef de la revue en ligne Next Inpact, a concocté (...)


Moi, expert C++, j'abandonne le C++

 -  3 juin - 

Sommaire Ma passion C++11, C++14, C++17… Comprendre le client et développer vite Intégrer l’utilisateur final dans son équipe Faire des sprints d’une (...)


Huawei renié par Google : une bonne nouvelle pour les smartphones libres (ou pas) ?

 -  21 mai - 

La nouvelle est parue ce matin : https://www.theverge.com/2019/5/19/18631558/google-huawei-android-suspension En gros, Google coupe l’accès aux (...)


Qualcomm corrige une faille critique dans des dizaines de puces Snapdragon

 -  8 mai - 

Pour continuer sur les discussions autour d'Android du moment sur LinuxFR. Source : https://app.beebom.com/qualcomm-patches-critical-flaw-dozens-snap