Comme la plupart d’entre vous le sait, nous faisons face à une situation exceptionnelle en ce qui concerne notre nouveau forum. J’aimerais prendre un peu de temps pour exposer rapidement les choses et plus particulièrement sur les vulnérabilités qui ont menées à la coupure du forum, ce qui vous concerne particulièrement, quelles sont les vérités et les failles exploitées et au final comment nous faire part de ces failles.

Je pense que nous pouvons nous accorder sur le fait que le forum a été déployé avec un niveau de sécurité inférieur que nécessaire. Nous continuons à analyser nos procédures internes pour déterminer ce qui n’a pas fonctionné et s’assurer que ce genre de problème ne pourra pas se répéter. Cela prendra du temps et pourrait même ne pas être rendu public aussi étrange que cela puisse paraître, les processus internes ne sont pas publics et n’ont pas de raison de le devenir. Aux cotés de CCP, je renouvelle nos plus sincères excuses pour cet incident et je vous assure que tout les efforts sont fait pour vous garantir que ce type d’événement ne se reproduira pas. Ne pas faire tout les efforts sur la sécurité nous place, vous et CCP dans une situation inacceptable et cet épisode ne doit pas être enterré, même s’il est quelque peu humiliant, c’est à nous de regarder vers l’avant et d’en tirer les leçons dans les prochaines semaines.

Quand le forum a été ouvert, il a été accessible environ 30h avant que nous ne recevions les premiers rapports de vulnérabilité. Nous avons été capable de tracer l’activité des utilisateurs, constater que certains utilisaient les failles à leur avantage, et le forum à donc été désactivé afin de pouvoir analyser comment les activités constatées avaient pu être accomplies. Un joueur nous a aidé en nous envoyant un rapport avec des informations très détaillées sur certaines conditions permettant d’exploiter les failles. Nous en avons aussi découvert d’autre lors de nos recherches.

Concrètement, a la suite de nos investigations, voici ce qu’il était possible de faire quand le forum était actif :

• Poster un message avec n’importe quel pseudo
• Lire les fils de discussions de tout le monde
• Injecter de l’HTML (sans script) dans votre signature
• Injecter de l’HTML (probablement scripté) dans le formulaire de « report » (quelque chose qu’il n’est pas possible de faire sans les autorisations spéciales liées au compte, sauf si une faille était utilisée)
• Editer les messages de tout le monde

Certains ont reporté qu’il était possible d’injecter des scripts dans les signatures. Autant nous n’avions pas bloqué la possibilité d’écrire des scripts dans la signature, autant nous avions bloqué la possibilité que les scripts soient exécutés. Schématiquement (et de façon simplifiée) si vous injectiez « un script dans ma signature mais le forum ne pourra pas l’interpréter » dans votre signature, tout ce qui aurait pu se passer c’est de voir inscrit dans votre signature en fin de message le script en tant que texte. Si quelqu’un a des preuves que ca ne fut pas le cas je le remercie de me contacter via l’adresse email security@ccpgames.com bien que toutes nos tentatives nous aient démontré que cette vulnérabilité était bloquée.

Nous n’avons pas constaté que qui que se soit ait pu accéder à vos données personnelles ou aux données de cartes de crédit, qui sont stockées dans un environnement sécurisé sans lien avec les systèmes du forum. Factuellement, les failles étaient limitées à des possibilités d’outre passé les droits et privilèges de son utilisateur sur le forum et nulle part ailleurs. Même si certain aurait été capable d’injecter des scripts, la seule méthode à partir de laquelle vos informations auraient pues être en danger aurait été via des formulaires de malware ou des sessions de « keylogging » depuis votre machine et non via une ouverture sur nos environnements sécurisés. Cela dit, il est toujours important et basique de conserver un ordinateurs sain et sans malware, de changer vos mots de passe de façon régulière et d’analyser le contenu de votre disque dur tout aussi régulièrement.

Cela m’amène aux « notification de failles » ( Vulnerability report ) qui ont joué un rôle intéressant dans ce cas. Si vous êtes au courant qu’une faille de sécurité a été découverte dans l’un de nos systèmes je vous encourage à envoyer un mail à l’adresse security@ccpgames.com , créer une pétition et/ou un bug report. Si vous faites cela, il y a 2 points primordiaux pour nous afin que nous répondions correctement :

1° Vous devez nous fournir en détails les étapes permettant de reproduire « l’exploit » quand cela est possible
2° Vous ne devez pas abuser de « l’exploit » en question une fois qu’il a été découvert, en tant que « niche » ou de toute autre manière. CCP est une société et nous devons prendre toute utilisation de faille dans nos systèmes avec le plus grand sérieux. Ce qui peut sembler amusant pour vous peut se révéler être un crime dans un autre pays.

Je travaille actuellement pour mettre en place un programme permettant de remercier les personnes qui nous auraient donné des informations nous permettant de sécuriser au maximum nos systèmes. De la même façon j’ai pris pour habitude personnelle de m’assurer que les gens ayant apporté leur aide se voient récompensés d’une manière ou d’une autre, cela est arrivé 2 fois sur ce point particulier.

Pour s’assurer que notre message est clair, voici un exemple de comportement à ne pas avoir et de mauvais « exploit report » :

From: Duderino24@poomail.com
Subject: YOU GUYS ARE IDIOTS LMAO

Hey !! Je voulais vous dire comment vous êtes des nazes et à quel point votre forum est nul. J’ai trouvé un truc de fou dans vos systèmes. Si vous voulez savoir quoi, vous pouvez toujours vous jeter dans un lac !

Et maintenant un exemple d’un bon « exploit report » :

 

From: Cooldude@brosef.com
Subject: Important - Vulnerability found in System X
Hello, je voulais vous faire part d’un bug que je viens de constater lors de la publication d’un message. Quoi que vous fassiez il fini toujours à la poubelle. Voici ce que j’ai fait :
1 : Ecrire un message
2 : Soumettre le message
3 : Baisser la tête, honteux, pendant que tout le monde se moque de moi.

Dans le « mauvais exploit report », l’utilisateur va continuer d’utiliser la faille jusqu'à ce que nous le bloquions. Dans le « bon exploit report », l’utilisateur a fait un test et ne fera plus l’action. Nous reconnaissons que nous sommes bénis d’avoir une communauté intelligente mais elle peut aussi, de ce fait, être malveillante. Nous ne tenons pas à prendre des mesures contre les comptes de gens qui peuvent découvrir des niches ou des bugs innocemment. Lors des investigations, les logs ne différencient pas une tentative ayant pour but de « tester » d’une utilisation abusive d’un bug, donc merci de ne pas utiliser les bugs et ainsi de ne pas mettre votre/vos compte(s) en péril.

Ce message est déjà long et il y aura un suivit. Je vais donc terminer et retourner à mes investigations. Il se pourrait que je fasse un autre post dans les prochains jours pour détailler de façon plus technique les « exploits » ou pour vous informer sur l’évolution de notre travail mais aujourd’hui je pensais qu’il était important de tenir informer la communauté car nombre de mauvaises informations ou de désinformations circulent, de plus vous méritez de savoir.
Je garde un œil sur ce thread (du forum officiel) me permettant de répondre à d’éventuelles questions, commentaires, ou crainte que vous pourriez avoir.
Un grand merci pour votre temps et votre patience.
Sreegs

Par CCP Sreegs
Source
Traduction : aBella Ceraya